《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 微軟報告先前未被發(fā)現(xiàn)的入侵

微軟報告先前未被發(fā)現(xiàn)的入侵

2021-06-28
來源:關鍵基礎設施安全應急響應中心
關鍵詞: 微軟 新入侵

當?shù)貢r間6月25日,微軟MSRC(安全響應中心)發(fā)布博文稱,其威脅情報中心在調(diào)查SolarWinds供應鏈攻擊事件中,發(fā)現(xiàn)了可能來自NOBELIUM的新入侵活動。他們對攻擊者使用的方法和戰(zhàn)術的調(diào)查仍在繼續(xù),但已看到了口令噴灑和暴力攻擊,微軟希望分享一些細節(jié),以幫助其客戶和社區(qū)保護自己。據(jù)稱黑客獲得了該公司一名客服人員的訪問權限,然后利用從中獲得的信息對客戶發(fā)起攻擊。

微信圖片_20210628190138.jpg

  微軟MSRC表示,他們是在應對太陽風(SolarWinds)和微軟(Microsoft)此前遭遇的重大黑客入侵事件進行深入調(diào)查時發(fā)現(xiàn)了這一入侵行為的。

  微軟表示,它已經(jīng)向可能受影響的用戶發(fā)出了警報。路透社看到的一份警告副本說,攻擊者屬于微軟稱為Nobelium的組織,該組織在2021年5月下半月獲得訪問權限。

  “一個復雜的民族國家關聯(lián)的威脅行為者,微軟標識為NOBELLIUM,訪問了微軟的客戶支持工具,以偵察有關客戶的微軟服務訂閱的信息,”部分警告寫道。美國政府公開將早些時候的攻擊歸咎于俄羅斯政府,但俄羅斯政府否認參與其中。

  微軟在公布的博文中稱,最近的這次行動大多是不成功的,而且大多數(shù)目標都沒有被成功地攻陷-我們迄今為止已經(jīng)知道三個被攻破的實體。我們正在通過國家報告程序聯(lián)系所有被侵害或被鎖定的客戶。

  這種類型的活動并不是新的,我們繼續(xù)建議每個人采取安全預防措施,例如啟用多因素身份驗證,以保護他們的環(huán)境免受這種或類似的攻擊。這項活動針對特定的客戶,主要是IT公司(57%),其次是政府(20%),非政府組織和智庫以及金融服務的比例較小。這些活動主要集中在美國,約占45%,其次是英國,占10%,德國和加拿大的人數(shù)較少??偣灿?6個國家受到攻擊。

  作為我們對這一正在進行的活動的調(diào)查的一部分,我們還在屬于我們的一個客戶支持代理的機器上檢測到竊取信息的惡意軟件,該代理能夠訪問少量客戶的基本帳戶信息。在某些情況下,這名威脅行為者利用這些信息發(fā)動了高度針對性的攻擊,作為他們更廣泛行動的一部分。我們反應迅速,移走了入口,保護了設備。調(diào)查正在進行中,但我們可以確認,我們的支持代理配置了所需的最小權限集,這是我們對客戶信息的零信任“最低特權訪問”方法的一部分。我們正在通知所有受影響的客戶,并為他們提供支持,以確保他們的賬戶保持安全。

  新發(fā)現(xiàn)的攻擊活動強調(diào)了最佳實踐安全預防措施(如零信任體系結構和多因素身份驗證)的重要性及其對每個人的重要性。

  這是一場更廣泛的更有針對性的網(wǎng)絡釣魚行動。微軟表示,它也發(fā)現(xiàn)自己的代理人員遭到了攻擊。微軟同時強調(diào)了該代理的權力是有的限,即代理可以看到賬單聯(lián)系信息,以及客戶為哪些服務付費等。微軟也同時通過正常的國家報告程序,警告受影響的用戶在與他們的計費聯(lián)系人溝通時要小心,并考慮更改這些用戶名和電子郵件地址,同時禁止舊用戶登錄。

  微軟的博文也表明已經(jīng)證實有三個實體在本次網(wǎng)絡釣魚活動中被攻陷。但沒有立即澄清是否有一些人的數(shù)據(jù)是通過支持代理人查看的,或者代理人是否被更廣泛的活動所欺騙。關于攻擊者及代理的細節(jié),微軟沒有說明這名代理是為承包商工作還是為其直接雇員工作。

  一名發(fā)言人表示,這名威脅者的最新一次攻擊不屬于Nobelium之前成功攻擊微軟的行動,Nobelium組織之前的行動獲得了一些源代碼。Nobelium組織在2019年12月入侵了太陽風公司,在該該網(wǎng)絡公司的系統(tǒng)等待了9個月后才采取行動。

微信圖片_20210628190142.jpg

  在SolarWinds的攻擊中,該組織修改了該公司的代碼,以訪問SolarWinds的客戶,其中包括9個美國聯(lián)邦機構。美國國土安全部(Department of Homeland Security)稱,攻擊者還利用了SolarWinds客戶和其他客戶的微軟程序配置中的弱點。微軟后來表示,該組織已經(jīng)侵入了自己的員工賬戶,并接受了管理微軟驗證用戶身份的軟件指令。

  一位白宮官員表示,最近的入侵和網(wǎng)絡釣魚活動遠沒有SolarWinds的慘敗那么嚴重。這名官員表示:“這似乎基本上是不成功的、普通的間諜活動。”

  國土安全局(Homeland Security)網(wǎng)絡安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency)發(fā)言人斯科特·麥康奈爾(Scott McConnell)表示,CISA“正在與微軟和我們的跨部門合作伙伴合作,評估影響?!蔽覀冸S時準備幫助任何受影響的實體。“

  微軟公司在2021年遭遇的重大網(wǎng)絡入侵遠不止這些。今年3月,有消息稱,正在使用微軟Exchange服務器遭到網(wǎng)絡,這波攻擊影響了超過3萬個組織,促使微軟發(fā)布了一系列補丁,影響Exchange Server的版本,這些補丁最早可以追溯到2013年。




電子技術圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。