圖片來源: 

Photo by Nemanja Jeremic on unsplash

微軟警告,去年藉SolarWinds駭入眾多美國政府及企業的俄羅斯駭客組織Nobelium,今年仍持續利用軟體供應鏈弱點伺機攻擊全球企業。微軟研判今年重點轉向經銷及雲端服務商。

西方資安業者及美國政府相信,Nobelium和俄羅斯政府外國情報單位SVR有關,又稱Cozy Bear、The Dukes或APT 29。去年它利用SolarWinds軟體Orion的更新機制,在數萬家SolarWinds用戶,包括美國商務部、國防部以及微軟、FireEye的內部網路下載後門程式

微軟客戶安全、信任企業副總裁Tom Burt指出,Nobelium企圖複製之前攻擊的老路數,瞄準全球IT供應鏈環節中的組織,但這次目標略為不同,找上了經銷商以及為客戶客製化、部署與管理雲端服務的技術服務供應商。微軟認為,Nobelium最終想借道經銷商和客戶IT系統的直接管道,再冒充這些業者的人員,以便直接存取客戶的內部系統。

微軟指出,他們今年5月觀察到最近一波攻擊後,已通知受影響的客戶及其夥伴,並提供支援服務。5個月來,接獲微軟通知的經銷及科技服務供應商超過140家,他們相信其中14家公司可能已經被駭,所幸入侵活動還在初期就被發現。

分析針對經銷及服務商的攻擊,俄羅斯駭客並非開採軟體漏洞,而是使用密碼潑灑(password spray)和釣魚信件來竊取受害組織用戶的登入憑證,取得存取權限。

微軟相信,這次攻擊是Nobelium今年夏天更大一波活動的一部分。3年前到今年7月以前,微軟偵測到的所有國家駭客攻擊次數也才20,500次。但從7月1日到10月19日,微軟一共通知了609家企業,光是被Nobelium攻擊的案例就將近2.3萬次,不過成功比例僅個位數。

微軟強調自己也已強化和產品經銷商及服務業者的安全要求,以防遭Nobelium毒手。例如去年微軟要求經銷商同意微軟得以解決經銷商安全事件、要求他們在環境中導入安全防護,例如合作夥伴和微軟介接的Partner Portal要限制存取、存取Portal應啟動多因素驗證(MFA),並表示未來也視需要強化安全。

微軟直指,這波活動顯示俄羅斯政府正試圖以長期、系統性手法對科技供應鏈下手,企圖從不同切入點駭入企業,以建立監控機制。該公司也表示正與歐美政府單位及資安社群,聯手研究並防範這個駭客組織。

9月間資安研究人員發現Nobelium接連發動攻擊,旨在受害伺服器上植入後門程式以長期滲透或竊取資料。駭客鎖定微軟Active Directory Federation Services (AD FS)伺服器,在取得外洩的用戶登入憑證後,進一步在AD FS伺服器內植入永久性的後門程式FoggyWeb。卡巴斯基則是在6月於DNS劫持的攻擊中,發現可能來自Nobelium的Tomiris。


熱門新聞

Advertisement