第一个原因是为什么要解读八卦，网上已经有太多的文字和情报，不胜枚举。让我们看看我

所见过的一些不引人注意的细节。SolarWinds的内部股票交易披露了这一事件之前的异常情况

。SolarWinds董事会于11月19日出售16.61万股股票，12月8日出售14.45万股，主要股东出售

。这表明，公司高层可能在11月之前就已经知道了此次袭击。由于了解到近期可能会公布的事

件，所以提前抛售部分股票，以防股价下跌过猛，结果显示，12月13日事件曝光后，公司股价

从24块跌至18块。Firefox首先给出了事件分析报告，并在报告的最后向微软表示感谢，说此次

攻击是由Firefox与微软团队一起进行的，因此微软随后也公布了安全报告，一切正常。Firefox

和微软的报告指出，攻击最早发生在2020年春季/2020年3月，360的揭秘报告则从样本级别追

溯到2019年10月，因此这次攻击实际上是跨两年进行。

 

 

时至今日，SolarWinds公司宣布最后一个有问题的版本将持续到2020年6月，也就是说，攻击

发生在2019年10月至2020年6月之间，而安全公司并未发现异常情况。而实际上真正的安全漏

洞发觉攻击的时间窗口期，实际上只有2020年7月到2020年11月的4个月时间节点。当攻击在4

个月内被发觉时，美国国土安全局确实可以提前停止攻击，但是事实上，直到2020年12月14日

，美国还公布了紧急指令，因此，这实际上是一个延迟的安全响应处理。万事皆防备滞后，美

国如此强大的网络安全力量，不能及时抓住对自身影响如此巨大的攻击也是一件难事。

 

 

再次看看这次攻击的opsec手法，Freddie和微软的报告并没有给攻击者提供opsec的详细信息

，只给了一个带有探测过程、服务的简述，这也只是这个组织opsec对抗的一个角落，并非一

个完整的画面。这个关键分析来自于360的揭秘报告，截取了该报告所引用的环境对抗检测的

一部分，可以看出，热火朝天的两个抓APT的大厂CrowdStrike和Fireeye，的确在为为何Crow

dStrike不发声而烦恼。攻击手肯定研究过各个安全大工厂的产品，都有精巧的攻防对抗策略，

这里面的细节和斗争是无法再现的。就连Fireeye之前公布的自个被入侵的公告，也大部分是

在说攻击者是在对Fireeye下手。因此Fireeye或许有一个天然的优势，先自个找找自个被搞，

然后带着那么多用户能查到，才能先曝光这一行动。

 

 

当然还有许多后知后觉的发觉，根据外界的报道，volexity在12月14日也公布了一份报告，其

中将于2020年6-7月间发觉对于用户Exchange邮件服务器的攻击关联起来，这毫无疑问是马

后炮，而且Volexity也是睁眼的，在没有Volexity提供的情报的情况下，它还犯下了发时滞问

题，这表明Volexity在这以前没有任何情报能够串连SolarWinds供应链事件。接着，avsvmcl

oud.com这个C2，孤零零地挂着2019年7月19日的更新记录，而微软的接管时间是2020年12

月14日，这次攻击影响如此巨大，如果能在这次攻击之前几个月发觉，那么这次C2接管会不

会拖到一年后的12月？总而言之，当美国拥有了众多的顶级安全厂商，也只能眼睁睁地看着

众多的核心机构被国家APT组织入侵，经过两年的时间才被发觉处理，那可不是好消息，而

是一声长鸣。