行业新闻与博客

微软成为 SolarWinds 供应链网络攻击的牺牲品

2020年12月29日|亚洲注册

微软公司说，其系统感染了由 SolarWinds 漏洞产生的恶意软件，这是最近几天针对美国政府机构和其他企业发起的攻击的跳板。

路透社于昨天（12月17日）首次报道，微软的入侵似乎是由木马潜伏在 SolarWinds 企业网络管理软件 Orion 的更新中引起的。

微软在一份声明中确认，“已经在我们的环境中检测到了恶意的 SolarWinds 二进制文件，我们对其进行了隔离和删除”。

这家科技巨头表示，“没有找到访问生产服务或客户数据的证据”，尽管路透社援引消息人士的说法，但该公司称“绝对没有发现我们的系统曾被用来攻击其他系统的迹象”。

美国国家安全局已发布安全公告，建议 Microsoft Azure 客户某些 Microsoft 云服务可能已被破坏。该警报会继续提供检测和修复建议。

最近发现的供应链攻击活动可能早在 3月就开始了，它破坏了美国国土安全部（DHS）以及财政，商务和能源部门的网络。

上周，网络威胁检测公司 FireEye 成为第一个披露其已沦为攻击受害者的组织。

这些攻击与俄罗斯政府资助的网络犯罪团伙 APT29（又名 Cozy Bear）有关。

Orion 用于监视和管理企业网络资产，例如服务器，工作站，移动设备和 IoT 设备。

SolarWinds 的客户还包括五角大楼，美国宇航局，司法部，美国总统办公室，美军的所有五个分支机构以及《美国财富》 500 强中的 425 个。

在 12月14日提交给 SEC 的文件中，SolarWinds 表示，在 33,000 个 Orion 客户中，大约有 18,000 个下载了包含后门的更新。

SolarWinds 已发布安全建议，为客户提供有关受影响产品的建议，应用安全更新和缓解步骤。

但是，在昨天发布的安全公告中，CISA 表示已经确定了 Orion 以外的潜在访问媒介。

它指出，FireEye 已发现对手正在利用隐写术，使用受侵害或欺骗性令牌进行横向移动以及时间阈值检查在 C2 通信尝试之间引入不可预测的延迟等技术来阻止检测和网络分析工作。

“总的来说，这些观察到的技术表明一个对手，他们熟练，隐秘且具有操作安全性，并愿意花费大量资源来保持秘密存在。”

赶上最新的网络战新闻

网络安全机构 Cybereason 的首席执行官兼联合创始人 Lior Div 建议组织，如果它们“适合“高价值目标”的形象”以“启动威胁搜寻和危害评估”。

他补充说，这些攻击表明“当威胁行动者获得拥有 300,000 多名客户的主要供应商的供应链（如 Solar Winds）的访问权限时，有什么可能。”

推测的网络间谍活动的发现与美国联邦政府因总统大选，政府之间的过渡以及“与 COVID-19 研究和疫苗传播有关的打击虚假信息运动”而分心的时期相吻合。

微软总裁布拉德·史密斯（Brad Smith）在昨天发表的博客文章中说，该公司正在通知美国 40 多个客户，而且攻击者已将其作为攻击目标。

他说，随着对袭击事件的调查继续进行，“肯定”会有更多的受害者出现。

他补充说，这些袭击突显了“缺乏在公共部门和私营部门之间共享网络安全威胁情报的正式且具有凝聚力的国家战略”。

众议院国土安全委员会已经对袭击事件进行了调查，联邦调查局预计将在今天（星期五）向国会进行秘密通报。

Daily Swig 已与 Microsoft 联系以获得进一步的评论，并且如果我们在听到时会更新该文章。