當(dāng)?shù)貢r(shí)間10月25日微軟公司在其博客文章中警告稱(chēng)，攻擊IT管理解決方案提應(yīng)商SolarWinds的與俄羅斯有關(guān)聯(lián)的網(wǎng)絡(luò)間諜組織仍在發(fā)動(dòng)供應(yīng)鏈攻擊。這個(gè)被微軟追蹤為Nobelium（其他公司則追蹤為APT29和Cozy Bear）的威脅行為者，自2021年5月以來(lái)一直在開(kāi)展持續(xù)攻擊活動(dòng)，目標(biāo)是至少140家組織，其中14家系統(tǒng)已被攻陷。

　　在SolarWinds攻擊中，黑客將他們的第一階段惡意軟件發(fā)送給了數(shù)千個(gè)組織，并利用他們對(duì)SolarWinds系統(tǒng)的訪(fǎng)問(wèn)權(quán)限，侵入了大約100個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)。

　　在最近的攻擊中，微軟表示，Nobelium的目標(biāo)是“代表客戶(hù)定制、部署和管理云服務(wù)和其他技術(shù)的經(jīng)銷(xiāo)商和其他技術(shù)服務(wù)提供商”。

　　微軟表示：“我們相信，Nobelium最終希望利用分銷(xiāo)商可能擁有的任何直接訪(fǎng)問(wèn)客戶(hù)IT系統(tǒng)的渠道，更容易地冒充一家機(jī)構(gòu)的可信技術(shù)合作伙伴，訪(fǎng)問(wèn)其下游客戶(hù)。”

　　從7月1日到10月19日，微軟公司向600多名客戶(hù)通報(bào)了近2.3萬(wàn)起與NOBELIUM相關(guān)的攻擊。雖然只有少數(shù)目標(biāo)的系統(tǒng)遭到了攻擊，但微軟想強(qiáng)調(diào)的是，在7月1日之前，它只向客戶(hù)發(fā)出了20,500條關(guān)于過(guò)去三年里觀(guān)察到的所有國(guó)家支持的攻擊的警報(bào)。

　　微軟表示：“最近的活動(dòng)是另一個(gè)跡象，表明俄羅斯正試圖獲得長(zhǎng)期、系統(tǒng)地進(jìn)入技術(shù)供應(yīng)鏈的各個(gè)點(diǎn)，并建立一種機(jī)制，對(duì)俄羅斯政府目前或未來(lái)感興趣的目標(biāo)進(jìn)行監(jiān)視?！?/p>

　　在本月早些時(shí)候發(fā)布的一份報(bào)告中，微軟表示，其觀(guān)察到的國(guó)家支持的網(wǎng)絡(luò)攻擊中，有58%是俄羅斯發(fā)起的。

　　周一的警報(bào)中指出，最近的Nobelium攻擊并沒(méi)有利用任何軟件漏洞，而是利用釣魚(yú)和密碼噴灑等技術(shù)竊取合法憑證，進(jìn)入目標(biāo)系統(tǒng)。

　　微軟的企業(yè)副總裁湯姆·伯特在接受CyberScoop采訪(fǎng)時(shí)，回應(yīng)了兩個(gè)最為受關(guān)切的問(wèn)題。

　　技術(shù)經(jīng)銷(xiāo)商為何成為有趣的或重要的攻擊目標(biāo)？

　　湯姆·伯特稱(chēng)，他們是一個(gè)非常有趣的目標(biāo)，因?yàn)樗麄兪橇硪活?lèi)供應(yīng)鏈參與者，通常在其客戶(hù)的帳戶(hù)中擁有升級(jí)的特權(quán)。這些人追求 SolarWinds 的原因之一是因?yàn)樗麄冞M(jìn)行了研究，并且他們明白 SolarWinds Orion 軟件，因?yàn)樗蔷W(wǎng)絡(luò)管理和優(yōu)化軟件，在他們合作的客戶(hù)網(wǎng)絡(luò)中必然具有很高的特權(quán)。這些云服務(wù)經(jīng)銷(xiāo)商也是如此。他們通常會(huì)在他們的客戶(hù)網(wǎng)絡(luò)中擁有一些升級(jí)的特權(quán)。

　　Nobelium 正在做什么，這個(gè)俄羅斯 SVR 集團(tuán)正在做什么，他們正在尋找可以上線(xiàn)的供應(yīng)鏈中的那些環(huán)節(jié)。請(qǐng)記住，這些人的操作安全性非常好，所以一旦他們進(jìn)來(lái)，他們就喜歡呆在那里躲起來(lái)。他們想進(jìn)入這些經(jīng)銷(xiāo)商網(wǎng)絡(luò)中的一些，然后他們可以隱藏在那里并從那里控制到他們所瞄準(zhǔn)的終端目標(biāo)。

　　這非常重要，因?yàn)樗枪?yīng)鏈的不同部分。SolarWinds 專(zhuān)門(mén)針對(duì)使用其軟件的人。從某種意義上說(shuō)，這是更廣泛的，因?yàn)樗麄冏非笤S多不同的公司，例如多個(gè)不同的 SolarWinds，但這些公司都是這些經(jīng)銷(xiāo)商，這使Nobelium有可能接觸到所有這些經(jīng)銷(xiāo)商的客戶(hù)。

　　攻擊者使用哪些最新的黑客技術(shù)？

　　據(jù)湯姆·伯特稱(chēng)，本輪攻擊有兩個(gè)階段。第一階段是，他們是如何進(jìn)入經(jīng)銷(xiāo)商網(wǎng)絡(luò)的？他們所做的主要是密碼噴霧。順便說(shuō)一句，對(duì)于大多數(shù)民族國(guó)家支持的威脅行為者，包括這些家伙和其他俄羅斯的，大多數(shù)耐心的國(guó)家級(jí)威脅行為者，密碼噴霧和暴力密碼攻擊只是他們的首選。這就是他們所做的，他們一直都在這樣做。在這種情況下，他們是否對(duì)這些經(jīng)銷(xiāo)商進(jìn)行了密碼噴灑。同樣，這就是他們進(jìn)入SolarWinds網(wǎng)絡(luò)的方式，這是微軟的理解。伯特認(rèn)為這并沒(méi)有完全證實(shí)他們是如何進(jìn)入的，但微軟認(rèn)為他們是通過(guò)某種密碼泄露進(jìn)入SolarWinds的，這些手法只是標(biāo)準(zhǔn)技術(shù)。

　　然而，這里的新東西是他們當(dāng)時(shí)所做的。就像他們?yōu)镾olarWinds發(fā)明了一種新技術(shù)——他們將惡意軟件放入Orion組件中，因?yàn)樗窃?SolarWinds 下文中構(gòu)建的，然后在該更新過(guò)程中將其惡意軟件帶入客戶(hù)環(huán)境中——同樣地，他們‘正在使用這些公司在其客戶(hù)環(huán)境中擁有的升級(jí)特權(quán)。微軟相信他們的意圖是使用這些升級(jí)的特權(quán)然后滲透到這些客戶(hù)環(huán)境中，這就是他們進(jìn)行更具創(chuàng)新性、新穎性的工作的地方。微軟的博客中，描述了經(jīng)銷(xiāo)商和他們的客戶(hù)應(yīng)該采取的保護(hù)自己的步驟。

　　微軟還提供了技術(shù)指導(dǎo)，幫助組織檢測(cè)由Nobelium發(fā)起的攻擊。上個(gè)月，微軟的博客文章中，詳細(xì)介紹了該威脅組織使用的一款?lèi)阂廛浖瑥谋还舻姆?wù)器中竊取數(shù)據(jù)。Mandiant也一直在監(jiān)控這些攻擊，這家網(wǎng)絡(luò)安全公司在北美和歐洲發(fā)現(xiàn)了下游的受害者。