當(dāng)?shù)貢r(shí)間6月25日，微軟MSRC（安全響應(yīng)中心）發(fā)布博文稱，其威脅情報(bào)中心在調(diào)查SolarWinds供應(yīng)鏈攻擊事件中，發(fā)現(xiàn)了可能來(lái)自NOBELIUM的新入侵活動(dòng)。他們對(duì)攻擊者使用的方法和戰(zhàn)術(shù)的調(diào)查仍在繼續(xù)，但已看到了口令噴灑和暴力攻擊，微軟希望分享一些細(xì)節(jié)，以幫助其客戶和社區(qū)保護(hù)自己。據(jù)稱黑客獲得了該公司一名客服人員的訪問(wèn)權(quán)限，然后利用從中獲得的信息對(duì)客戶發(fā)起攻擊。

　　微軟MSRC表示，他們是在應(yīng)對(duì)太陽(yáng)風(fēng)（SolarWinds）和微軟（Microsoft）此前遭遇的重大黑客入侵事件進(jìn)行深入調(diào)查時(shí)發(fā)現(xiàn)了這一入侵行為的。

　　微軟表示，它已經(jīng)向可能受影響的用戶發(fā)出了警報(bào)。路透社看到的一份警告副本說(shuō)，攻擊者屬于微軟稱為Nobelium的組織，該組織在2021年5月下半月獲得訪問(wèn)權(quán)限。

　　“一個(gè)復(fù)雜的民族國(guó)家關(guān)聯(lián)的威脅行為者，微軟標(biāo)識(shí)為NOBELLIUM，訪問(wèn)了微軟的客戶支持工具，以偵察有關(guān)客戶的微軟服務(wù)訂閱的信息，”部分警告寫(xiě)道。美國(guó)政府公開(kāi)將早些時(shí)候的攻擊歸咎于俄羅斯政府，但俄羅斯政府否認(rèn)參與其中。

　　微軟在公布的博文中稱，最近的這次行動(dòng)大多是不成功的，而且大多數(shù)目標(biāo)都沒(méi)有被成功地攻陷-我們迄今為止已經(jīng)知道三個(gè)被攻破的實(shí)體。我們正在通過(guò)國(guó)家報(bào)告程序聯(lián)系所有被侵害或被鎖定的客戶。

　　這種類型的活動(dòng)并不是新的，我們繼續(xù)建議每個(gè)人采取安全預(yù)防措施，例如啟用多因素身份驗(yàn)證，以保護(hù)他們的環(huán)境免受這種或類似的攻擊。這項(xiàng)活動(dòng)針對(duì)特定的客戶，主要是IT公司（57%），其次是政府（20%），非政府組織和智庫(kù)以及金融服務(wù)的比例較小。這些活動(dòng)主要集中在美國(guó)，約占45%，其次是英國(guó)，占10%，德國(guó)和加拿大的人數(shù)較少。總共有36個(gè)國(guó)家受到攻擊。

　　作為我們對(duì)這一正在進(jìn)行的活動(dòng)的調(diào)查的一部分，我們還在屬于我們的一個(gè)客戶支持代理的機(jī)器上檢測(cè)到竊取信息的惡意軟件，該代理能夠訪問(wèn)少量客戶的基本帳戶信息。在某些情況下，這名威脅行為者利用這些信息發(fā)動(dòng)了高度針對(duì)性的攻擊，作為他們更廣泛行動(dòng)的一部分。我們反應(yīng)迅速，移走了入口，保護(hù)了設(shè)備。調(diào)查正在進(jìn)行中，但我們可以確認(rèn)，我們的支持代理配置了所需的最小權(quán)限集，這是我們對(duì)客戶信息的零信任“最低特權(quán)訪問(wèn)”方法的一部分。我們正在通知所有受影響的客戶，并為他們提供支持，以確保他們的賬戶保持安全。

　　新發(fā)現(xiàn)的攻擊活動(dòng)強(qiáng)調(diào)了最佳實(shí)踐安全預(yù)防措施（如零信任體系結(jié)構(gòu)和多因素身份驗(yàn)證）的重要性及其對(duì)每個(gè)人的重要性。

　　這是一場(chǎng)更廣泛的更有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)行動(dòng)。微軟表示，它也發(fā)現(xiàn)自己的代理人員遭到了攻擊。微軟同時(shí)強(qiáng)調(diào)了該代理的權(quán)力是有的限，即代理可以看到賬單聯(lián)系信息，以及客戶為哪些服務(wù)付費(fèi)等。微軟也同時(shí)通過(guò)正常的國(guó)家報(bào)告程序，警告受影響的用戶在與他們的計(jì)費(fèi)聯(lián)系人溝通時(shí)要小心，并考慮更改這些用戶名和電子郵件地址，同時(shí)禁止舊用戶登錄。

　　微軟的博文也表明已經(jīng)證實(shí)有三個(gè)實(shí)體在本次網(wǎng)絡(luò)釣魚(yú)活動(dòng)中被攻陷。但沒(méi)有立即澄清是否有一些人的數(shù)據(jù)是通過(guò)支持代理人查看的，或者代理人是否被更廣泛的活動(dòng)所欺騙。關(guān)于攻擊者及代理的細(xì)節(jié)，微軟沒(méi)有說(shuō)明這名代理是為承包商工作還是為其直接雇員工作。

　　一名發(fā)言人表示，這名威脅者的最新一次攻擊不屬于Nobelium之前成功攻擊微軟的行動(dòng)，Nobelium組織之前的行動(dòng)獲得了一些源代碼。Nobelium組織在2019年12月入侵了太陽(yáng)風(fēng)公司，在該該網(wǎng)絡(luò)公司的系統(tǒng)等待了9個(gè)月后才采取行動(dòng)。

　　在SolarWinds的攻擊中，該組織修改了該公司的代碼，以訪問(wèn)SolarWinds的客戶，其中包括9個(gè)美國(guó)聯(lián)邦機(jī)構(gòu)。美國(guó)國(guó)土安全部（Department of Homeland Security）稱，攻擊者還利用了SolarWinds客戶和其他客戶的微軟程序配置中的弱點(diǎn)。微軟后來(lái)表示，該組織已經(jīng)侵入了自己的員工賬戶，并接受了管理微軟驗(yàn)證用戶身份的軟件指令。

　　一位白宮官員表示，最近的入侵和網(wǎng)絡(luò)釣魚(yú)活動(dòng)遠(yuǎn)沒(méi)有SolarWinds的慘敗那么嚴(yán)重。這名官員表示：“這似乎基本上是不成功的、普通的間諜活動(dòng)?！?/p>

　　國(guó)土安全局（Homeland Security）網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency）發(fā)言人斯科特·麥康奈爾（Scott McConnell）表示，CISA“正在與微軟和我們的跨部門(mén)合作伙伴合作，評(píng)估影響。”我們隨時(shí)準(zhǔn)備幫助任何受影響的實(shí)體?！?/p>

　　微軟公司在2021年遭遇的重大網(wǎng)絡(luò)入侵遠(yuǎn)不止這些。今年3月，有消息稱，正在使用微軟Exchange服務(wù)器遭到網(wǎng)絡(luò)，這波攻擊影響了超過(guò)3萬(wàn)個(gè)組織，促使微軟發(fā)布了一系列補(bǔ)丁，影響Exchange Server的版本，這些補(bǔ)丁最早可以追溯到2013年。