微软警告,去年借SolarWinds黑入众多美国政府及企业的俄罗斯黑客组织Nobelium,今年仍持续利用软件供应链弱点伺机攻击全球企业。微软研判今年重点转向经销及云计算服务商。
西方安全企业及美国政府相信,Nobelium和俄罗斯政府外国情报单位SVR有关,又称Cozy Bear、The Dukes或APT 29。去年它利用SolarWinds软件Orion的更新机制,在数万家SolarWinds用户,包括美国商务部、国防部以及微软、FireEye的内部网络下载后门程序。
微软客户安全、信任企业副总裁Tom Burt指出,Nobelium企图复制之前攻击的老路数,瞄准全球IT供应链环节中的组织,但这次目标略为不同,找上了经销商以及为客户定制化、部署与管理云计算服务的技术服务供应商。微软认为,Nobelium最终想借道经销商和客户IT系统的直接渠道,再冒充这些企业的人员,以便直接访问客户的内部系统。
微软指出,他们今年5月观察到最近一波攻击后,已通知受影响的客户及其伙伴,并提供支持服务。5个月来,接获微软通知的经销及科技服务供应商超过140家,他们相信其中14家公司可能已经被黑,所幸入侵活动还在初期就被发现。
分析针对经销及服务商的攻击,俄罗斯黑客并非开采软件漏洞,而是使用密码泼洒(password spray)和钓鱼信件来窃取受害组织用户的登录凭证,取得访问权限。
微软相信,这次攻击是Nobelium今年夏天更大一波活动的一部分。3年前到今年7月以前,微软侦测到的所有国家黑客攻击次数也才20,500次。但从7月1日到10月19日,微软一公用知了609家企业,光是被Nobelium攻击的案例就将近2.3万次,不过成功比例仅个位数。
微软强调自己也已强化和产品经销商及服务企业的安全要求,以防遭Nobelium毒手。例如去年微软要求经销商同意微软得以解决经销商安全事件、要求他们在环境中导入安全防护,例如合作伙伴和微软对接的Partner Portal要限制访问、访问Portal应启动多因素验证(MFA),并表示未来也视需要强化安全。
微软直指,这波活动显示俄罗斯政府正试图以长期、系统性手法对科技供应链下手,企图从不同切入点黑入企业,以创建监控机制。该公司也表示正与欧美政府单位及安全社群,联手研究并防范这个黑客组织。
9月间安全研究人员发现Nobelium接连发动攻击,旨在受害服务器上植入后门程序以长期渗透或窃取资料。黑客锁定微软Active Directory Federation Services (AD FS)服务器,在取得外泄的用户登录凭证后,进一步在AD FS服务器内植入永久性的后门程序FoggyWeb。卡巴斯基则是在6月于DNS劫持的攻击中,发现可能来自Nobelium的Tomiris。