攻击SolarWinds的黑客再度骇入IT供应链，新目标是经销及云端服务商

时间：2024-07-16

编辑：tance.cc

微软近日发出警告称，去年曾借助SolarWinds事件骇入美国政府及企业的俄罗斯黑客组织Nobelium，今年仍在利用软件供应链的弱点，继续瞄准世界各地的企业发动攻击。微软的研究显示，今年，这些黑客组织的攻击重点将转向经销商和云服务提供商。

西方的资安产业和美国政府一致认为，Nobelium团队与俄罗斯政府的境外情报机构SVR有关，该团队也被称为Cozy Bear、The Dukes或者APT 29。去年，该团队利用SolarWinds软件Orion的升级机制，在成千上万SolarWinds用户中传播后门程序，涉及的用户包括美国商务部、国防部、微软和FireEye等机构的内部网络。

微软的客户安全和信任企业副总裁Tom Burt指出，Nobelium试图重蹈旧路，瞄准全球IT供应链环节中的组织进行攻击，但这次攻击略有不同，其目标是涉及经销商的科技服务供应商，这些供应商为客户提供定制、部署和管理云端服务。微软认为，Nobelium的最终目的是借道经销商和客户IT系统的直接管道，伪装成这些业者的工作人员，以便直接访问客户的内部系统。

据微软指出，他们于今年五月份发现了最近一次攻击浪潮，已经通知了受影响的客户及其合作伙伴，并提供了支持服务。在过去的五个月中，超过140家经销商和科技服务供应商接到了微软的通知。微软相信，其中有14家公司可能已经被黑客攻击，幸运的是，这些入侵活动还在早期就被发现了。

针对经销商和服务商的攻击，俄罗斯黑客没有利用软件漏洞进行攻击，而是采用密码泄露（password spray）和钓鱼邮件的方式来窃取受害组织用户的登录凭证，以获取相应的访问权限。

微软表示，这次袭击是Nobelium今年夏季更大范围活动的一部分。自3年前到今年7月之前，微软侦测到的国家黑客攻击仅发生了20,500次。但自7月1日至10月19日，微软通知了609家企业，仅就被Nobelium攻击的案例而言就接近2.3万次，然而成功率仅为个位数。

微软强调，为了防范遭受Nobelium的攻击，公司已经加强了与产品经销商和服务业者的安全合规要求。例如，去年微软要求经销商同意微软处理安全事件的唯一权利，要求他们在系统环境中引入安全防护措施。此外，对于合作伙伴和微软的Partner Portal，访问权限已加限制，并要求启用多因素验证（MFA）。微软表示，未来将根据需要进一步强化安全措施。

微软指出，最近一系列行动表明俄罗斯政府试图采用长期、系统性的方式攻击科技供应链，企图从多个入口侵入企业，从而建立监控机制。微软表示，正在与欧美政府机构和网络安全社区合作，共同研究和预防这个黑客组织的攻击。

在9月期间，资安研究人员发现Nobelium进行了多次攻击，他们的目的是通过在受害的服务器上植入后门程序，以便进行长期的渗透和数据窃取。黑客们主要攻击了微软的Active Directory Federation Services（AD FS）服务器，并在获取泄露的用户登录凭证后，进一步在AD FS服务器中植入了永久性的后门程序FoggyWeb。而在6月份，卡巴斯基也在DNS劫持攻击中发现了可能来自Nobelium的Tomiris攻击。

SQL查询优化器

新DNS安全漏洞使国家级别的窃密如探囊取物