文 | cybernews
俄罗斯黑客被指利用近年来影响面最大的网络攻击活动,经由供应商SolarWinds对微软服务的访问权限对其他客户施以渗透。
调查人员指出,近年来,先后策划多起美国网络攻击活动的俄罗斯黑客团伙似乎还在继续行动,他们利用分销商对微软服务的访问权限渗透其他目标,借此将罪恶之手伸向那些未受到SolarWinds软件漏洞影响的企业群体。
美国顶尖安全厂商CorwdStrike近日表示,虽然SolarWinds Orion软件的更新是目前唯一可知的攻击切入点,但黑客已经成功入侵负责分销Office许可产品的部分供应商,甚至开始尝试阅读CrowdStrike的往来电子邮件。虽然还没有最终确认黑客身份,但两位知情人士表示此番渗透确实出自SolarWinds黑客团伙之手。
CrowdStrike主要使用Office产品进行文字处理,但并不涉及邮件管理。微软方面于今年12月15日向CrowdStrike发出提醒,称有人曾尝试渗透其邮件系统但未能成功。
并未使用SolarWinds软件的CrowdStrike表示,他们没有发现入侵企图造成的任何影响,因此决定暂不公布相关分销商名称。
据知情人士透露,“攻击者通过分销商成功渗透,并试图启用邮件的「读取」权限。幸好CrowdStrike方面没有使用Office 365管理往来邮件,否则一定会酿成大祸。”
相当一部分微软软件许可都通过第三方分销商进行销售,而在客户增购新产品或为员工分发新许可时,这些分销商几乎能够随时访问客户的内部系统。
微软方面对此表示,这些客户需要保持警惕。
2020年12月18日,位于美国得克萨斯州奥斯汀市的SolarWinds公司总部。微软高级总裁Jeff Jones提到,“我们对此次事件进行了调查,发现涉及多种形式的凭证滥用以窃取访问权限的情况。但目前尚未发现微软产品或云服务中存在任何漏洞或因此受到任何入侵。”
不过,借分销商之手入侵网络安全企业的尝试确实带来了新的警示,美方官员宣称相关黑客很可能是由俄罗斯政府所指使,并且黑客可以使用不止一种的方式实施入侵。
截至目前,SolarWinds攻击受害者已经涵盖CrowdStrike的安全业务竞争对手FireEye公司、美国国防部、多个州一级政府、商务部、财政部以及国土安全部。好在虽然已经确认内部SolarWinds软件因更新问题遭到污染,但还没有任何证据表明黑客借此成功入侵其网络。
截至目前,总部位于美国得克萨斯州的SolarWinds是唯一得到公开确认的初始入侵渠道。但最近一段时间,官员们坚持强调黑客有可能找到其他入侵方法。
路透社在上周的报道中表示,已经出现利用微软产品实施攻击的情况。但联邦政府官员强调称此报道缺乏有效证据,微软自身也提到未发现自家系统有遭到滥用的迹象。
微软随后仍提示其客户应保持警惕。在上周二发布的一长篇技术博客文章末尾,微软提到发现了黑客“成功入侵受信任供应商的账户的微软365云端。”
根据原有业务模式,微软允许供应商保留对客户端系统的访问权限,以此随时安装产品并向新用户分发许可。但这也留下了巨大的隐患,导致客户一方很难随时判断哪些供应商掌握着何种访问权限。为此,CorwdStrike还专门开发出审计管理工具。
在经历了一系列网络攻击事件之后,微软今年开始对各下级分销商实施新的管控措施,包括要求其全面贯彻多因素身份验证机制。美国网络安全与基础设施安全局以及美国家安全局均未立即就此发表评论。
同样是在上周四,SolarWinds方面发布了更新程序,用以修复其网络管理软件平台Orion中的安全漏洞。在此之前,微软曾在一篇博文中提到,除了一手造成SolarWinds软件更新漏洞的俄罗斯黑客之外,另有一批与俄罗斯无关的黑客组织曾经发起攻击。
目前尚不清楚第二批黑客的身份及其具体入侵程度。俄罗斯方面则否认与黑客入侵事件有关。
原文链接:
https://cybernews.com/news/suspected-russian-hackers-used-microsoft-vendors-to-breach-customers/