SVR黑客针对微软的反情报行动

背景：

2024年1月12日周五（美股休市后），微软向美国证券交易所披露其被黑客入侵。

微软安全团队在一篇博客文章中表示：“我们的公司系统于2024年1月12日检测到了一个来自国家黑客的攻击，立即启动了我们的应对流程，进行调查，打断恶意活动，减轻攻击，拒绝威胁行为者进一步访问。”“微软已经确定这个威胁行为者是午夜暴风雪（Midnight Blizzard），这也是俄国家赞助的行为者，又被称为诺贝利姆（Nobelium）。”

。。。

微软表示，黑客们正在寻找关于自己的信息（可能是微软对他们的追踪）。这与SolarWinds攻击有相似之处，当时同一组织追踪美国政府对其入侵的反应。

目标 🎯

— 微软高级领导团队（MS SLT）

— 网络安全和法务员工

— 电子邮件及附件

— 与“午夜暴风雪”本身相关的信息

大型科技公司是外国情报和反情报的肥美目标。目前关于此事的详细信息较少，但跨学科反情报始终是一个吸引我注意的主题。

提醒一下，有一些组织是国家级对手的永久目标。我们都在这场战斗中共同奋斗。

对于新手和未经启蒙者的提醒：如果你的日常工作是揭露和阻止国家情报和安全机构的努力，从国家的角度来看，你是一个合法的目标。

新发现：

微软2024年3月8日周五（美股休市后，呵呵）警告称，上月被指责入侵其网络安全、法务和高管团队电子邮件的俄政府黑客正利用他们所窃取的内容，试图侵入客户的计算机系统。

在一份证券文件和博客文章中，微软表示，与俄对外情报机构SVR有关的黑客还升级了针对微软自身的攻击，寻找新的可利用领域。

微软在其安全博客上写道:"该组织的攻击行为表现出威胁行为体投入了大量资源、协调行动和高度专注，这反映出当前空前严峻的全球威胁格局，尤其是在复杂国家行为体攻击方面。"

微软表示，正在审查被窃取的高管和网络安全人员的电子邮件，并警告其中可能泄露了机密的客户。但它拒绝透露警告了多少客户，也不排除黑客是否窃取了源代码或仍留在公司内部。惠普（HP）企业公司上月也表示遭到了黑客入侵，该公司为大公司提供云服务。

该活动目前的成功程度使多个大陆的情报官员感到震惊，他们私下警告了数十个更多的受害者。他们向包括微软Office程序和Outlook电子邮件在内的云服务用户发出了详细的加固建议。

上周四，美国国家安全局和国土安全部门建议客户评估供应商的安全记录、审计账户活动日志并限制用户权限。

微软将这一持续攻击归咎于被称为"午夜暴风雪"的SVR组织，其他安全公司则称之为APT29或Cozy Bear。这是2020年入侵网络软件公司SolarWinds的同一组织。当时，黑客在SolarWinds代码中植入了一个后门，允许他们深入九个联邦机构和其他100多家SolarWinds客户。  

在那次入侵活动中，入侵者还入侵了拥有持续客户访问权限的微软经销商，然后添加或修改账户以窃取电子邮件。去年，美国证券交易委员会起诉SolarWinds，因为其未能告知股东其系统存在被黑客入侵的风险。

接受采访的一些回应最近攻击的人士表示，SVR仍在以经销商为目标，尤其是那些通过可添加或删除新微软用户的"服务账户"持续访问客户的经销商。

谷歌安全业务Mandiant的首席技术官查尔斯·卡马卡尔说:"我们看到的一个情况是，继续滥用和利用那些为小组织设置电子邮件租户的小公司。这允许威胁行为体入侵小公司的环境，获得他们之前设置的所有租户邮件的管理员访问权限。"

微软的修正评估再次引发了人们对其保护自身和敏感客户能力的质疑。这只是SVR在过去几年针对微软的多次入侵之一。在之前的一次事件中，黑客获取了关于公司身份认证系统的源代码。

在最近的这起案件中，微软最初披露SVR黑客进入了一个不活跃的云测试帐户。但它没有说明他们是如何从那里进入到高管的电子邮件的，这个问题仍未解答，也未排除SVR发现了微软Azure云系统的新重大漏洞的可能性。

与微软竞争安全业务的CrowdStrike公司高级副总裁亚当·梅耶斯表示:"显然微软内部的身份验证系统一片混乱。"

参考资料：

https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/

https://www.sec.gov/ixviewer/ix.html?doc=/Archives/edgar/data/0000789019/000119312524062997/d808756d8ka.htm

原文始发于微信公众号（天御攻防实验室）：SVR黑客针对微软的反情报行动