微软报告先前未被发现的入侵
2021-06-28
来源:关键基础设施安全应急响应中心
当地时间6月25日,微软MSRC(安全响应中心)发布博文称,其威胁情报中心在调查SolarWinds供应链攻击事件中,发现了可能来自NOBELIUM的新入侵活动。他们对攻击者使用的方法和战术的调查仍在继续,但已看到了口令喷洒和暴力攻击,微软希望分享一些细节,以帮助其客户和社区保护自己。据称黑客获得了该公司一名客服人员的访问权限,然后利用从中获得的信息对客户发起攻击。
微软MSRC表示,他们是在应对太阳风(SolarWinds)和微软(Microsoft)此前遭遇的重大黑客入侵事件进行深入调查时发现了这一入侵行为的。
微软表示,它已经向可能受影响的用户发出了警报。路透社看到的一份警告副本说,攻击者属于微软称为Nobelium的组织,该组织在2021年5月下半月获得访问权限。
“一个复杂的民族国家关联的威胁行为者,微软标识为NOBELLIUM,访问了微软的客户支持工具,以侦察有关客户的微软服务订阅的信息,”部分警告写道。美国政府公开将早些时候的攻击归咎于俄罗斯政府,但俄罗斯政府否认参与其中。
微软在公布的博文中称,最近的这次行动大多是不成功的,而且大多数目标都没有被成功地攻陷-我们迄今为止已经知道三个被攻破的实体。我们正在通过国家报告程序联系所有被侵害或被锁定的客户。
这种类型的活动并不是新的,我们继续建议每个人采取安全预防措施,例如启用多因素身份验证,以保护他们的环境免受这种或类似的攻击。这项活动针对特定的客户,主要是IT公司(57%),其次是政府(20%),非政府组织和智库以及金融服务的比例较小。这些活动主要集中在美国,约占45%,其次是英国,占10%,德国和加拿大的人数较少。总共有36个国家受到攻击。
作为我们对这一正在进行的活动的调查的一部分,我们还在属于我们的一个客户支持代理的机器上检测到窃取信息的恶意软件,该代理能够访问少量客户的基本帐户信息。在某些情况下,这名威胁行为者利用这些信息发动了高度针对性的攻击,作为他们更广泛行动的一部分。我们反应迅速,移走了入口,保护了设备。调查正在进行中,但我们可以确认,我们的支持代理配置了所需的最小权限集,这是我们对客户信息的零信任“最低特权访问”方法的一部分。我们正在通知所有受影响的客户,并为他们提供支持,以确保他们的账户保持安全。
新发现的攻击活动强调了最佳实践安全预防措施(如零信任体系结构和多因素身份验证)的重要性及其对每个人的重要性。
这是一场更广泛的更有针对性的网络钓鱼行动。微软表示,它也发现自己的代理人员遭到了攻击。微软同时强调了该代理的权力是有的限,即代理可以看到账单联系信息,以及客户为哪些服务付费等。微软也同时通过正常的国家报告程序,警告受影响的用户在与他们的计费联系人沟通时要小心,并考虑更改这些用户名和电子邮件地址,同时禁止旧用户登录。
微软的博文也表明已经证实有三个实体在本次网络钓鱼活动中被攻陷。但没有立即澄清是否有一些人的数据是通过支持代理人查看的,或者代理人是否被更广泛的活动所欺骗。关于攻击者及代理的细节,微软没有说明这名代理是为承包商工作还是为其直接雇员工作。
一名发言人表示,这名威胁者的最新一次攻击不属于Nobelium之前成功攻击微软的行动,Nobelium组织之前的行动获得了一些源代码。Nobelium组织在2019年12月入侵了太阳风公司,在该该网络公司的系统等待了9个月后才采取行动。
在SolarWinds的攻击中,该组织修改了该公司的代码,以访问SolarWinds的客户,其中包括9个美国联邦机构。美国国土安全部(Department of Homeland Security)称,攻击者还利用了SolarWinds客户和其他客户的微软程序配置中的弱点。微软后来表示,该组织已经侵入了自己的员工账户,并接受了管理微软验证用户身份的软件指令。
一位白宫官员表示,最近的入侵和网络钓鱼活动远没有SolarWinds的惨败那么严重。这名官员表示:“这似乎基本上是不成功的、普通的间谍活动。”
国土安全局(Homeland Security)网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)发言人斯科特·麦康奈尔(Scott McConnell)表示,CISA“正在与微软和我们的跨部门合作伙伴合作,评估影响。”我们随时准备帮助任何受影响的实体。“
微软公司在2021年遭遇的重大网络入侵远不止这些。今年3月,有消息称,正在使用微软Exchange服务器遭到网络,这波攻击影响了超过3万个组织,促使微软发布了一系列补丁,影响Exchange Server的版本,这些补丁最早可以追溯到2013年。