

  • 2019年10月前(供应链攻击开始)[8]
  • 2020年3月 (推测的联邦政府机构数据泄露起始日期)[9][10]
  • 2020年12月13日 (数据泄露被发现)[9][10]
持续时间至少8个月[11] 或9个月
类型网络攻击, 数据泄露
主题恶意软件, 软件后门, 高级持续性威胁, 间谍






SolarWinds是一家总部位于德克萨斯州的美国政府网络监控服务承包商,在此次攻击之前其产品就已经曝出一些安全缺陷。[52]SolarWinds组织结构中没有设置首席资讯安全官或网络安全高级主管。[4][53]早在2017年就有犯罪分子有偿提供SolarWinds基础设施的访问渠道。SolarWinds甚至建议用户在安装SolarWinds软件之前禁用反病毒软件。2019年11月,一名安全研究人员警告SolarWinds,称他们的FTP伺服器“任何骇客都可能上传恶意内容并将这些内容发送给SolarWinds的客户“。[54][55][56] 由于SolarWinds的Microsoft Office 365账户已经被入侵,骇客可以访问其电子邮箱,甚至可能可以访问一些文件。[57][58]







除此之外,“Zerologon”漏洞(微软认证协议NetLogon中的一个漏洞)允许攻击者获取被入侵的微软网络中的所有用户名和密码。[22][23]这使得他们可以获取其他凭证来获取网络上其他合法用户的权限,帮助他们入侵Microsoft Office 365服务中的电子邮箱


此次事件中的攻击者入侵了Microsoft Office 365,他们在长达几个月的时间里监控了美国国家电信资讯局(NTIA)和美国财政部工作人员的内部电邮。[9][45]他们的攻击显然使用了某种伪造的身份标记来绕过微软的认证系统。[65][66]单点登录功能的存在则增加了攻击的可行性。[35]


攻击者也对SolarWinds使用了供应链攻击。[67]攻击者可能通过已控制的SolarWindsde的Office 365帐户控制了其公司的软件构建系统。[68][52][57][58]

2019年9月之前攻击者已经控制了SolarWinds的软件发布基础设施。[69][70]在构建系统中,攻击者修改了SolarWinds提供给网络监控软件Orion用户的软件更新。[71][72] 首次已知非法修改作为攻击者的概念验证(PoF)发生于2019年10月,这意味着他们已经获取了整个基础设施网络的控制权。

2020年3月,攻击者开始在Orion更新中植入用于攻击目标的远程访问工具。[33][73][74][75][9][76] 当用户安装更新,恶意程序将随之安装至受害者的系统。在休眠12-14天后该程序将开始尝试连接并加入攻击者的僵尸网络[77][78][79][80]成功加入网络后,攻击者将获得对该系统的控制后门[81]。攻击者巧妙地将恶意程序流量伪装成合法Solarwinds流量来掩盖其意图。[68][82]根据CDN服务商统计,起初几周访问攻击者僵尸网络的流量主要来自北美,随后拓展到南美、欧洲和亚洲。[83]

攻击者似乎只使用了高价值目标系统的后门程序,[77]一旦进入目标网络,攻击者就会安装Cobalt strike等工具来提升权限。[84][82][68][1]由于Orion作为一个可信的第三方应用程式连接到客户的Office 365帐户,攻击者可以获得访问电邮和其他机密文件的权限。[85]这种权限使得他们能够在系统中寻找有效的SAML证书,并使用这些证书伪装成合法用户,使用其他本地或线上服务并加密转移他们感兴趣的数据。[86]一旦窃取到合法身份,关闭Orion便不再能够切断攻击者对目标的访问。[5][87][88][67]




此次事件中的攻击者还利用了VMware Access和VMware身份管理器的漏洞。这些漏洞能帮助入侵者持久化入侵成果。[20][21]截至2020年12月18日,虽然已经确定SUNBURST木马足够帮助入侵者利用VMware的漏洞,但是攻击者是否使用过该漏洞仍旧不明。



在2019年和2020年期间,网络安全公司Volexity发现一匿名智库的微软产品存在漏洞并遭到入侵者利用。[92][93][13]攻击者使用独特的方法利用了该组织Exchange控制面板中的一个漏洞绕过了多重身份验证。2020年6月至7月,Volexity发现SolarWinds Orion漏洞植入了木马。即:微软漏洞(攻击入口)和SolarWinds供应链攻击(攻击目标)可以被入侵者结合,用来实现目的。Volexity表示他们无法确认攻击者的身份。


另外,在2020年10月前后,微软威胁情报中心报告称,一个明显受到他国协助的攻击者利用微软NetLogon协议中的“ZeroLogon”漏洞进行攻击。[22][23]2020年10月22日,CISA收到报告并向各州、地方、区县政府发出警告,要求他们寻找自身网络是否有遭到入侵的迹象,并指示他们如果受到威胁就重建网络。[95]2020年12月,VirusTotal和The Intercept接连发现德州奥斯汀市政府遭到入侵迹象。




几天后,也就是12月13日,财政部和商务部遭入侵被公开,消息人士称这与火眼系统遭到入侵相关。[9][26]12月15日,火眼公司证实,攻击财政部等部门与火眼的介质均为植入SolarWinds Orion软件升级的木马程序。[54][102]




在2020年12月3日之前的一段时间,NSA发现并通知VMware其产品VMware Access和VMware身份管理器中存在漏洞。[20]后者2020年12月3日发布了补丁。2020年12月7日,NSA宣称由于俄罗斯政府支持的攻击者正在积极利用这些漏洞,用户应当及时安装补丁。[104]



SolarWinds认为是外国势力向Orion插入了恶意软件。[10]俄罗斯支持的骇客组织被怀疑是幕后黑手。[105][9][24]美国官员表示,具体来讲责任方可能是SVR或Cozy Bear(也称为APT29)。[26][25]FireEye将攻击者命名为UNC2452;事故应对公司Volexity称他们为“暗晕(Dark Halo)”。[68][13][93]2020年12月23日,FireEye总执行长表示,俄罗斯是最有可能的罪魁祸首,这些攻击的手法与SVR惯用方法“非常相似”。[106]


FBI的调查人员发现,疑似来自中国的骇客利用SolarWinds产品中的漏洞入侵美国政府机构(如农业部下辖国家财务中心)的电脑,可能危及数千名政府雇员的数据。骇客利用Orion代码中的另一个漏洞帮助他们控制受害者的系统,因此这次入侵被认为独立于前述攻击行动。美国前联邦首席资讯安全官格雷戈里·图希尔(Gregory Touhill)将两个骇客团体先后瞄准同一软件的事实,比作自行车比赛中的“破风”行为。[111][91]


2020年10月22日,CISA和FBI确认微软ZeroLogin攻击者为外国政府支持的APT组织Berserk Bear,它被认为是俄罗斯联邦安全局的一部分。[22]


12月19日,时任美国总统唐纳德·特朗普首次公开发表声明,暗示可能是中国而不是俄罗斯对此负责,但没有证据。[39][115][114][40]同一天,参议院情报委员会(Senate Intelligence Committee)代理主席、共和党参议员马尔科·卢比奥表示:“越来越清楚的是,俄罗斯情报部门对我国实施了历史上最严重的网络入侵”[30][116]










美国疾病控制和预防中心、司法部和一些公用事业公司已经下载安装具有后门的版本。[1]其他SolarWinds的知名客户包括洛斯阿拉莫斯国家实验室、波音和大多数财富500强企业,但它们是否使用Orion尚不明确。[128]据报道,SolarWinds的海外客户包括英国内政部国民保健署和英国信号情报处;北大西洋公约组织(NATO) ;欧洲议会;可能还有阿斯利康公司。[5][29]FireEye表示,北美、欧洲、亚洲和中东地区更多的政府、咨询、技术、电信和采掘实体也可能受到影响。


  1. 攻击者可能移除了入侵留下的证据,使调查人员无法得知组织的数据是否泄露;
  2. 由于组织主干网络可能遭到入侵,相关组织可能启用了安全的备用网络并封锁主干网络的数据,阻止了攻击者窃取数据;
  3. Orion本身就是一个网络监控工具,没有这个工具,用户对其网络的控制能力会降低,因而无法感知入侵者的存在。[62][67]







政府机构类型 机构名称 受影响部分 泄露数据 消息源
行政 农业部 国家财政中心 [6][140][86][141][142][91]
商务部 国家电信资讯局 [1][143][78][80][144][145][146]
国防部 五角大楼部分网络系统
能源部 国家核安全管理局 [3][147][148][149][150][151][152]
卫生及公共服务部 国家卫生院
国土安全部 网络安全和基础设施安全局 [153][154]
司法部 ~3000托管于Microsoft Office 365伺服器的电子邮箱账户 [155][7][156][157][158][159]
劳工部 劳工统计局 [2]
财政部 [160][161][162][35]
司法 美国法院行政办公室 案件管理与电子档案系统(CM/ECF) 包含密封档案在内的庭审记录 [163][164][165][166][167][168][169][170][171]


受影响地区 消息源
亚利桑那 皮马县 [172][173]
加利福尼亚 加州州立医院
俄亥俄 肯特州立大学 [174]
德克萨斯 奥斯汀 [22]


组织名称 泄露数据内容 消息源
贝尔金 [174]
思科系统 [175][176][162][173]
考克斯通讯 [172][177]
Fidelis Care
  • 红方工具(入侵工具)
Malwarebytes Anti-Malware
Mimecast [193][194][195][196][197][198]
派拓网络 [199]
匿名智库 [13][129][93][14][64][123]




2020年12月15日,微软宣布SUNBURST只影响使用Windows的电脑,从12月16日起相关恶意软件已加入到微软的数据库中,Microsoft Denfender将能够检测并隔离SUNBURST。[201][144]



在骇客攻击后SolarWinds并未公布受影响客户列表,且根据网络安全公司GreyNoise Intelligence消息,截至12月15日,SolarWinds仍然没有从其发布伺服器上删除受感染的软件更新。[203][54][57][204]











参议院军事委员会的网络安全小组委员会听取了国防部官员的简报。[88]众议院国土安全委员会和众议院监督和改革委员会启动了一项调查。[32]参议院情报委员会代理主席马尔科·卢比奥说,在确定肇事者的身份之后美国必须进行报复。[214]该委员会副主席马克·华纳(Mark Warner)批评特朗普总统没有正面回应这起骇客事件。[215]


2020年12月22日,在美国财政部长史蒂文·努钦(Steven Mnuchin)告诉记者,他“完全了解这件事”之后,微软向参议院财政委员会(Senate Finance Committee)通报称骇客侵入了财政部高级官员办公的财政部部门办公室(department office)的系统,数十个财政部电邮账户被骇客窃取控制。[35][120]参议员威登表示,简报显示财政部“仍不清楚骇客的所有行动,或者确切地说,哪些财政部资讯被盗”。







《纽约时报》报导称,川普在没有证据的情况下推测称,这次攻击可能还涉及对投票机的“攻击”。特朗普的说法遭到了CISA前主管克里斯·克雷布斯的反驳,他指出特朗普的说法是不可能的。[1][221]曾主导通俄门案的民主党籍众议院情报委员会(House Intelligence Committee)主席亚当·希夫(Adam Schiff)称特朗普的言论是“对我们国家安全的可耻背叛”,“听起来像是克里姆林宫给他写的稿子”。[222]

前国土安全顾问托马斯·博塞特评论特朗普言论称:“特朗普总统即将抛弃遭受俄罗斯侵害的联邦政府,或许还有大量主要行业。”他还指出,为了减轻攻击造成的破坏,需要国会采取行动,包括通过《国防授权法案》采取行动。[223][36] The Verge政策编辑拉塞尔·布兰多姆(Russell Brandom)称美国对此次骇客攻击准备不足,并批评特朗普一贯“将联邦网络安全工作视为一个更具党派色彩的战场,之所以对网络安全感兴趣是因为它们作为政治大棒的价值”。布兰多姆写道,“这不是管理世界上最强大的情报机构的方式。”[44]弗雷德·卡普兰(Fred Kaplan)在《Slate》杂志上撰文批评特朗普宣扬虚假的选举欺诈指控,同时“忽视了真正的网络安全危机”,他写道:“尽管特朗普对那些虚构的骇客窃取了选举结果大发牢骚,但他对国家真正的网络安全明显不感兴趣。”[42]时尚先生》评论员查尔斯·皮尔斯批评特朗普政府“玩忽职守”,称特朗普是“不老实、无能的混乱代理人”[224]


时任当选总统乔·拜登说:“一个好的防御系统是不够的,我们首先需要扰乱敌人的计划,阻止敌人的网络攻击。 面对我们国家遭受的网络攻击,我不会袖手旁观。”[225]拜登说,他已经指示过渡团队研究此次攻击事件,将把网络安全作为(下一届)各级政府的首要任务,并将找出、惩罚攻击者。[63][3] 拜登即将上任的幕僚长罗恩·克莱因说,拜登政府对骇客行为的回应将不仅仅是制裁。[226]


2021年1月,拜登任命了两个安全相关的白宫职位:国土安全顾问伊丽莎白·舍伍德-兰德尔(Elizabeth Sherwood-Randall)和负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)。[229]




2020年12月24日,加拿大网络安全中心要求加拿大的SolarWinds Orion用户检查系统是否受到攻击。[232][233]



大多数现任和前任美国官员认为,2020年的此次骇客攻击是“令人震惊的间谍行为”,但由于攻击者没有破坏或篡改行为,也没有造成对基础设施(如对电网、电信网络等)的实际损害,所以不是网络战争。[235]大西洋理事会、哥伦比亚萨尔茨曼研究所的埃里卡·博格哈德和胡佛协会、海军战争学院的杰奎琳·施耐德认为,这次入侵是一种间谍行为,可以用“逮捕、外交或反间谍”来回应,而且尚未被证明是一次在法律上允许美国以武力回应的网络战争行为。[236]法学教授杰克·戈德史密斯写道,这次骇客攻击是一次具有破坏性的网络间谍行为,但“并不违反国际法或国际规范”,并写道,“由于美国自身的做法,美国政府历来承认外国政府在美国政府网络中从事网络间谍活动的合法性。”[237] 法学教授迈克尔·施密特对此引用了《塔林手册》的例子以表示赞同。[238]




戈德史密斯在为《The Dispatch》撰写的文章中写道:防御和威慑网络入侵战略的失败,应该促使美国考虑采取“相互克制”战略。“即美国减少在外国网络中的某些(间谍)活动,来换取对手在美国网络中的宽容。”[237]

网络安全作家布鲁斯·施奈尔反对报复或增强攻击能力,他建议采取一种以防御为主导的战略,并建议签署《网络空间信任与安全巴黎倡议》或参与全球网络空间稳定委员会(Global Commission on the Stability of Cyberspace)。[241]

为《纽约时报》撰文时,前中央情报局特工、哈佛大学贝尔弗科学与国际事务中心情报项目主任保罗·科尔贝(Paul Kolbe)赞同了施奈尔的呼吁,要求美国改进网络防御和国际协议。他还指出,美国也在参与针对其它国家的类似行动,他称这是一场相互的网络冲突。[242]




