攻击SolarWinds的黑客再度骇入IT供应链,新目标是经销及云端服务商

时间:2024-07-16
编辑:tance.cc

微软近日发出警告称,去年曾借助SolarWinds事件骇入美国政府及企业的俄罗斯黑客组织Nobelium,今年仍在利用软件供应链的弱点,继续瞄准世界各地的企业发动攻击。微软的研究显示,今年,这些黑客组织的攻击重点将转向经销商和云服务提供商。

西方的资安产业和美国政府一致认为,Nobelium团队与俄罗斯政府的境外情报机构SVR有关,该团队也被称为Cozy Bear、The Dukes或者APT 29。去年,该团队利用SolarWinds软件Orion的升级机制,在成千上万SolarWinds用户中传播后门程序,涉及的用户包括美国商务部、国防部、微软和FireEye等机构的内部网络。

微软的客户安全和信任企业副总裁Tom Burt指出,Nobelium试图重蹈旧路,瞄准全球IT供应链环节中的组织进行攻击,但这次攻击略有不同,其目标是涉及经销商的科技服务供应商,这些供应商为客户提供定制、部署和管理云端服务。微软认为,Nobelium的最终目的是借道经销商和客户IT系统的直接管道,伪装成这些业者的工作人员,以便直接访问客户的内部系统。

据微软指出,他们于今年五月份发现了最近一次攻击浪潮,已经通知了受影响的客户及其合作伙伴,并提供了支持服务。在过去的五个月中,超过140家经销商和科技服务供应商接到了微软的通知。微软相信,其中有14家公司可能已经被黑客攻击,幸运的是,这些入侵活动还在早期就被发现了。

针对经销商和服务商的攻击,俄罗斯黑客没有利用软件漏洞进行攻击,而是采用密码泄露(password spray)和钓鱼邮件的方式来窃取受害组织用户的登录凭证,以获取相应的访问权限。

微软表示,这次袭击是Nobelium今年夏季更大范围活动的一部分。自3年前到今年7月之前,微软侦测到的国家黑客攻击仅发生了20,500次。但自7月1日至10月19日,微软通知了609家企业,仅就被Nobelium攻击的案例而言就接近2.3万次,然而成功率仅为个位数。

微软强调,为了防范遭受Nobelium的攻击,公司已经加强了与产品经销商和服务业者的安全合规要求。例如,去年微软要求经销商同意微软处理安全事件的唯一权利,要求他们在系统环境中引入安全防护措施。此外,对于合作伙伴和微软的Partner Portal,访问权限已加限制,并要求启用多因素验证(MFA)。微软表示,未来将根据需要进一步强化安全措施。

微软指出,最近一系列行动表明俄罗斯政府试图采用长期、系统性的方式攻击科技供应链,企图从多个入口侵入企业,从而建立监控机制。微软表示,正在与欧美政府机构和网络安全社区合作,共同研究和预防这个黑客组织的攻击。

在9月期间,资安研究人员发现Nobelium进行了多次攻击,他们的目的是通过在受害的服务器上植入后门程序,以便进行长期的渗透和数据窃取。黑客们主要攻击了微软的Active Directory Federation Services(AD FS)服务器,并在获取泄露的用户登录凭证后,进一步在AD FS服务器中植入了永久性的后门程序FoggyWeb。而在6月份,卡巴斯基也在DNS劫持攻击中发现了可能来自Nobelium的Tomiris攻击。