當(dāng)?shù)貢r間10月25日微軟公司在其博客文章中警告稱，攻擊IT管理解決方案提應(yīng)商SolarWinds的與俄羅斯有關(guān)聯(lián)的網(wǎng)絡(luò)間諜組織仍在發(fā)動供應(yīng)鏈攻擊。這個被微軟追蹤為Nobelium（其他公司則追蹤為APT29和Cozy Bear）的威脅行為者，自2021年5月以來一直在開展持續(xù)攻擊活動，目標(biāo)是至少140家組織，其中14家系統(tǒng)已被攻陷。

　　在SolarWinds攻擊中，黑客將他們的第一階段惡意軟件發(fā)送給了數(shù)千個組織，并利用他們對SolarWinds系統(tǒng)的訪問權(quán)限，侵入了大約100個機(jī)構(gòu)的網(wǎng)絡(luò)。

　　在最近的攻擊中，微軟表示，Nobelium的目標(biāo)是“代表客戶定制、部署和管理云服務(wù)和其他技術(shù)的經(jīng)銷商和其他技術(shù)服務(wù)提供商”。

　　微軟表示：“我們相信，Nobelium最終希望利用分銷商可能擁有的任何直接訪問客戶IT系統(tǒng)的渠道，更容易地冒充一家機(jī)構(gòu)的可信技術(shù)合作伙伴，訪問其下游客戶。”

　　從7月1日到10月19日，微軟公司向600多名客戶通報了近2.3萬起與NOBELIUM相關(guān)的攻擊。雖然只有少數(shù)目標(biāo)的系統(tǒng)遭到了攻擊，但微軟想強(qiáng)調(diào)的是，在7月1日之前，它只向客戶發(fā)出了20,500條關(guān)于過去三年里觀察到的所有國家支持的攻擊的警報。

　　微軟表示：“最近的活動是另一個跡象，表明俄羅斯正試圖獲得長期、系統(tǒng)地進(jìn)入技術(shù)供應(yīng)鏈的各個點，并建立一種機(jī)制，對俄羅斯政府目前或未來感興趣的目標(biāo)進(jìn)行監(jiān)視。”

　　在本月早些時候發(fā)布的一份報告中，微軟表示，其觀察到的國家支持的網(wǎng)絡(luò)攻擊中，有58%是俄羅斯發(fā)起的。

　　周一的警報中指出，最近的Nobelium攻擊并沒有利用任何軟件漏洞，而是利用釣魚和密碼噴灑等技術(shù)竊取合法憑證，進(jìn)入目標(biāo)系統(tǒng)。

　　微軟的企業(yè)副總裁湯姆·伯特在接受CyberScoop采訪時，回應(yīng)了兩個最為受關(guān)切的問題。

　　技術(shù)經(jīng)銷商為何成為有趣的或重要的攻擊目標(biāo)？

　　湯姆·伯特稱，他們是一個非常有趣的目標(biāo)，因為他們是另一類供應(yīng)鏈參與者，通常在其客戶的帳戶中擁有升級的特權(quán)。這些人追求 SolarWinds 的原因之一是因為他們進(jìn)行了研究，并且他們明白 SolarWinds Orion 軟件，因為它是網(wǎng)絡(luò)管理和優(yōu)化軟件，在他們合作的客戶網(wǎng)絡(luò)中必然具有很高的特權(quán)。這些云服務(wù)經(jīng)銷商也是如此。他們通常會在他們的客戶網(wǎng)絡(luò)中擁有一些升級的特權(quán)。

　　Nobelium 正在做什么，這個俄羅斯 SVR 集團(tuán)正在做什么，他們正在尋找可以上線的供應(yīng)鏈中的那些環(huán)節(jié)。請記住，這些人的操作安全性非常好，所以一旦他們進(jìn)來，他們就喜歡呆在那里躲起來。他們想進(jìn)入這些經(jīng)銷商網(wǎng)絡(luò)中的一些，然后他們可以隱藏在那里并從那里控制到他們所瞄準(zhǔn)的終端目標(biāo)。

　　這非常重要，因為它是供應(yīng)鏈的不同部分。SolarWinds 專門針對使用其軟件的人。從某種意義上說，這是更廣泛的，因為他們追求許多不同的公司，例如多個不同的 SolarWinds，但這些公司都是這些經(jīng)銷商，這使Nobelium有可能接觸到所有這些經(jīng)銷商的客戶。

　　攻擊者使用哪些最新的黑客技術(shù)？

　　據(jù)湯姆·伯特稱，本輪攻擊有兩個階段。第一階段是，他們是如何進(jìn)入經(jīng)銷商網(wǎng)絡(luò)的？他們所做的主要是密碼噴霧。順便說一句，對于大多數(shù)民族國家支持的威脅行為者，包括這些家伙和其他俄羅斯的，大多數(shù)耐心的國家級威脅行為者，密碼噴霧和暴力密碼攻擊只是他們的首選。這就是他們所做的，他們一直都在這樣做。在這種情況下，他們是否對這些經(jīng)銷商進(jìn)行了密碼噴灑。同樣，這就是他們進(jìn)入SolarWinds網(wǎng)絡(luò)的方式，這是微軟的理解。伯特認(rèn)為這并沒有完全證實他們是如何進(jìn)入的，但微軟認(rèn)為他們是通過某種密碼泄露進(jìn)入SolarWinds的，這些手法只是標(biāo)準(zhǔn)技術(shù)。

　　然而，這里的新東西是他們當(dāng)時所做的。就像他們?yōu)镾olarWinds發(fā)明了一種新技術(shù)——他們將惡意軟件放入Orion組件中，因為它是在 SolarWinds 下文中構(gòu)建的，然后在該更新過程中將其惡意軟件帶入客戶環(huán)境中——同樣地，他們‘正在使用這些公司在其客戶環(huán)境中擁有的升級特權(quán)。微軟相信他們的意圖是使用這些升級的特權(quán)然后滲透到這些客戶環(huán)境中，這就是他們進(jìn)行更具創(chuàng)新性、新穎性的工作的地方。微軟的博客中，描述了經(jīng)銷商和他們的客戶應(yīng)該采取的保護(hù)自己的步驟。

　　微軟還提供了技術(shù)指導(dǎo)，幫助組織檢測由Nobelium發(fā)起的攻擊。上個月，微軟的博客文章中，詳細(xì)介紹了該威脅組織使用的一款惡意軟件，從被攻擊的服務(wù)器中竊取數(shù)據(jù)。Mandiant也一直在監(jiān)控這些攻擊，這家網(wǎng)絡(luò)安全公司在北美和歐洲發(fā)現(xiàn)了下游的受害者。