當?shù)貢r間10月25日微軟公司在其博客文章中警告稱，攻擊IT管理解決方案提應商SolarWinds的與俄羅斯有關聯(lián)的網絡間諜組織仍在發(fā)動供應鏈攻擊。這個被微軟追蹤為Nobelium（其他公司則追蹤為APT29和Cozy Bear）的威脅行為者，自2021年5月以來一直在開展持續(xù)攻擊活動，目標是至少140家組織，其中14家系統(tǒng)已被攻陷。

　　在SolarWinds攻擊中，黑客將他們的第一階段惡意軟件發(fā)送給了數(shù)千個組織，并利用他們對SolarWinds系統(tǒng)的訪問權限，侵入了大約100個機構的網絡。

　　在最近的攻擊中，微軟表示，Nobelium的目標是“代表客戶定制、部署和管理云服務和其他技術的經銷商和其他技術服務提供商”。

　　微軟表示：“我們相信，Nobelium最終希望利用分銷商可能擁有的任何直接訪問客戶IT系統(tǒng)的渠道，更容易地冒充一家機構的可信技術合作伙伴，訪問其下游客戶。”

　　從7月1日到10月19日，微軟公司向600多名客戶通報了近2.3萬起與NOBELIUM相關的攻擊。雖然只有少數(shù)目標的系統(tǒng)遭到了攻擊，但微軟想強調的是，在7月1日之前，它只向客戶發(fā)出了20,500條關于過去三年里觀察到的所有國家支持的攻擊的警報。

　　微軟表示：“最近的活動是另一個跡象，表明俄羅斯正試圖獲得長期、系統(tǒng)地進入技術供應鏈的各個點，并建立一種機制，對俄羅斯政府目前或未來感興趣的目標進行監(jiān)視?！?/p>

　　在本月早些時候發(fā)布的一份報告中，微軟表示，其觀察到的國家支持的網絡攻擊中，有58%是俄羅斯發(fā)起的。

　　周一的警報中指出，最近的Nobelium攻擊并沒有利用任何軟件漏洞，而是利用釣魚和密碼噴灑等技術竊取合法憑證，進入目標系統(tǒng)。

　　微軟的企業(yè)副總裁湯姆·伯特在接受CyberScoop采訪時，回應了兩個最為受關切的問題。

　　技術經銷商為何成為有趣的或重要的攻擊目標？

　　湯姆·伯特稱，他們是一個非常有趣的目標，因為他們是另一類供應鏈參與者，通常在其客戶的帳戶中擁有升級的特權。這些人追求 SolarWinds 的原因之一是因為他們進行了研究，并且他們明白 SolarWinds Orion 軟件，因為它是網絡管理和優(yōu)化軟件，在他們合作的客戶網絡中必然具有很高的特權。這些云服務經銷商也是如此。他們通常會在他們的客戶網絡中擁有一些升級的特權。

　　Nobelium 正在做什么，這個俄羅斯 SVR 集團正在做什么，他們正在尋找可以上線的供應鏈中的那些環(huán)節(jié)。請記住，這些人的操作安全性非常好，所以一旦他們進來，他們就喜歡呆在那里躲起來。他們想進入這些經銷商網絡中的一些，然后他們可以隱藏在那里并從那里控制到他們所瞄準的終端目標。

　　這非常重要，因為它是供應鏈的不同部分。SolarWinds 專門針對使用其軟件的人。從某種意義上說，這是更廣泛的，因為他們追求許多不同的公司，例如多個不同的 SolarWinds，但這些公司都是這些經銷商，這使Nobelium有可能接觸到所有這些經銷商的客戶。

　　攻擊者使用哪些最新的黑客技術？

　　據(jù)湯姆·伯特稱，本輪攻擊有兩個階段。第一階段是，他們是如何進入經銷商網絡的？他們所做的主要是密碼噴霧。順便說一句，對于大多數(shù)民族國家支持的威脅行為者，包括這些家伙和其他俄羅斯的，大多數(shù)耐心的國家級威脅行為者，密碼噴霧和暴力密碼攻擊只是他們的首選。這就是他們所做的，他們一直都在這樣做。在這種情況下，他們是否對這些經銷商進行了密碼噴灑。同樣，這就是他們進入SolarWinds網絡的方式，這是微軟的理解。伯特認為這并沒有完全證實他們是如何進入的，但微軟認為他們是通過某種密碼泄露進入SolarWinds的，這些手法只是標準技術。

　　然而，這里的新東西是他們當時所做的。就像他們?yōu)镾olarWinds發(fā)明了一種新技術——他們將惡意軟件放入Orion組件中，因為它是在 SolarWinds 下文中構建的，然后在該更新過程中將其惡意軟件帶入客戶環(huán)境中——同樣地，他們‘正在使用這些公司在其客戶環(huán)境中擁有的升級特權。微軟相信他們的意圖是使用這些升級的特權然后滲透到這些客戶環(huán)境中，這就是他們進行更具創(chuàng)新性、新穎性的工作的地方。微軟的博客中，描述了經銷商和他們的客戶應該采取的保護自己的步驟。

　　微軟還提供了技術指導，幫助組織檢測由Nobelium發(fā)起的攻擊。上個月，微軟的博客文章中，詳細介紹了該威脅組織使用的一款惡意軟件，從被攻擊的服務器中竊取數(shù)據(jù)。Mandiant也一直在監(jiān)控這些攻擊，這家網絡安全公司在北美和歐洲發(fā)現(xiàn)了下游的受害者。