微软发现后门 CISA警告新的攻击媒介

微软表示，已经删除了与大规模黑客活动有关的恶意软件，该恶意软件已经使数千家组织和美国政府机构陷入困境。

微软的披露是在周四竞选活动的破坏性范围扩大之际发布的，美国新政府警告说，最近发现的供应链妥协可能不是黑客组织渗透组织的唯一途径。

微软表示，它发现了来自于奥斯汀公司SolarWinds的恶意二进制文件，该公司的软件供应链已被一个黑客组织渗透。

首次报道微软受到影响的路透社说，微软“也利用自己的产品来进一步攻击他人”，匿名消息来源说。

微软表示，“我们认为路透社报告的消息来源是错误的信息或对信息的错误解释。”

微软声明说：“我们没有找到访问生产服务或客户数据的证据。” “我们正在进行的调查尚未发现任何迹象表明我们的系统曾被用来攻击他人。”

尽管如此，微软还是为越来越多的受害者提供了重要而令人担忧的补充。大多数组织都使用某种Microsoft软件，对其供应链的成功攻击可能会成倍扩大受影响组织的范围。至少到目前为止，似乎还没有发生。

微软总裁布拉德·史密斯（Brad Smith）写道，微软已经确定了40个被“更精确”定位的客户群。他写道，这些客户下载了恶意的SolarWinds更新，并“通过其他复杂的措施遭到破坏”。

史密斯写道，其中约80％的受害者在美国，其他人在加拿大，墨西哥，比利时，西班牙，英国，以色列和阿联酋。受害者包括政府机构，安全和技术公司以及非政府组织。

史密斯写道：“可以肯定的是，受害者的人数和位置将继续增长。” “不幸的是，这次攻击是对美国政府的机密信息和公司用来保护它们的技术工具的一次广泛而成功的基于间谍活动的攻击。”

此图显示了Microsoft按行业分类的受害者。（来源：微软）

政治部周三报道，能源部和维护国家核武器的国家核安全局也成为袭击目标。

CISA：SolarWinds不仅感染载体

黑客活动涉及将恶意后门插入到SolarWinds流行的网络管理软件Orion的软件更新中。一旦组织安装了这些更新，攻击者就可以自由访问网络，并且可以安装其他恶意软件并访问数据，例如电子邮件帐户。

Bambenek Consulting的首席法务检查官兼总裁，SANS Institute的事件处理人员John Bambenek说，Orion具有强大的管理访问权限。

“拥有SolarWinds实际上就是拥有CIO，” Bambenek说。“您已经有了基础架构。您不需要特殊的工具就可以坐在那里，更改密码，创建帐户或启动新的VM（虚拟机）。它们都已内置，并且您具有完全访问权限。”

SolarWinds说，多达18,000个组织下载了受感染的更新。但是专家认为，黑客组织可能只深入了几十个组织，其中许多组织在美国政府领域。

但是，美国网络安全和基础设施安全局周四警告说，SolarWinds的妥协“并不是该参与者利用的唯一初始感染媒介”。

CISA的警报表示，它正在调查某些事件，其中受害者没有使用Orion软件，或者如果存在，则没有任何剥削活动的迹象。CISA注意到事件响应公司Volexity已经发现了针对SolarWinds的与其他媒介有关的战术，技术和程序。

从去年开始，Volexity在一个美国身份不明的智囊团中调查了三起入侵事件，并注意到该攻击小组使用了多种精致的技巧来留在网络中。它写了一篇有关事件的深入博客文章：https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/。事后推断，最后一次是与SolarWinds有关。

Volexity说，这是一个巧妙的技巧，黑客组织使用了一个先前窃取的密钥来生成cookie，以绕过Duo多因素身份验证来保护对Outlook Web app的访问。

CISA在其警报中指出，在两次针对智囊团的入侵中，存在“超出SolarWinds Orion的初始访问媒介，并且可能还有其他未知”。

Volexity发现，该黑客组织对访问受害者电子邮件系统表现出浓厚的兴趣，该组织正在建议客户检查可疑活动（请参阅：SolarWinds：寻找被破坏的人员https://www.databreachtoday.com/solarwinds-hunt-to-figure-out-who-was-breached-a-15608）。

攻击组“能力强”

FireEye Mandiant法医部门的高级副总裁兼首席技术官Charles Carmakal表示，这些折衷方案背后的高级持续威胁小组“能力很强”。

他说，Mandiant怀疑该组织使用多种技术闯入组织，而CISA的警告符合该组织的机敏性质。FireEye透露，它于12月8日遭到违反，随后将违反行为与SolarWinds相联系。

Carmakal说：“他们（威胁参与者）显然具有能力和资源，而不仅仅是以一种单一的方式闯入组织。”

Carmakal说，尽管尚未确定这些公司的软件供应链是否受到损害，但多家软件公司已受到该组织的影响。他说，有些是通过SolarWinds折衷方案渗透的，但对于另一些，最初的切入点尚不清楚。

Carmakal说：“数家软件公司和不同类型的组织都在尝试评估这一活动的影响。” “现在有很多调查工作正在进行。”

CISA表示，除联邦机构外，此次黑客活动还威胁到州，地方，部落和地区政府以及重要的基础设施实体和其他私营部门组织。

其他受害者包括美国商务部，国土安全部，州和财政部以及美国国立卫生研究院。在私营部门，英特尔和思科受到了影响（请参阅：SolarWinds供应链命中：受害者包括思科，英特尔

https://www.databreachtoday.com/solarwinds-supply-chain-hit-victims-include-cisco-intel-a-15619）。

安全公司Digital Shadows的首席信息安全官，前陆军情报分析师里克·霍兰德（Rick Holland）说，更多细节可能会泄漏出去。他说：“但是，公众不太可能知道这些入侵的全部范围和含义。”

俄罗斯参与？

CISA的警报未标识APT组所在的国家/地区。但是，有一个嫌疑人是APT 29，也称为“舒适熊”，据信与俄罗斯SVR外国情报服务有关。该组织曾因高调入侵而受到指责，其中包括2016年针对民主党全国委员会的一次入侵。

俄罗斯政府否认对此负有责任（请参阅：SolarWinds Supply Chain Hit：受害人包括Cisco，Intel https://www.databreachtoday.com/solarwinds-supply-chain-hit-victims-include-cisco-intel-a-15619）。

入侵活动很可能在三月左右开始，一直持续到十月，这使得组织本可以受到监视的差距很大。它引起了关于为什么不早发现攻击者的疑问。

《纽约时报》周三报道说，国土安全部的入侵检测系统（称为爱因斯坦）未能检测到针对政府机构的攻击。

总统当选人拜登发出承诺，使得它们同为他的政府在一般的重中之重SolarWinds的相关违约和网络安全的声明。

拜登说：“我们将把提高网络安全作为整个政府的当务之急，进一步加强与私营部门的伙伴关系，并扩大对基础设施和人员的投资，以防范恶意的网络攻击。”

本文始发于微信公众号（Ots安全）：微软发现后门 CISA警告新的攻击媒介