下面讓我們看看有關(guān)民族國家網(wǎng)絡(luò)攻擊者攻擊SolarWinds的更多詳細信息。

在周三發(fā)布的更新中，SolarWinds公司總裁兼首席執(zhí)行官Sudhakar Ramakrishna稱，該公司正在進行的調(diào)查確定，此次供應(yīng)鏈攻擊背后的民族國家攻擊者首先是進入SolarWinds的Office 365環(huán)境。從那里，攻擊者獲取員工的登陸憑據(jù)，獲得對Orion構(gòu)建環(huán)境的特權(quán)訪問，然后為該平臺的軟件更新添加后門程序。此次攻擊活動導(dǎo)致更新受感染，并使政府機構(gòu)和技術(shù)巨頭等重要客戶受到攻擊。

[[381709]]

該調(diào)查的主要組成部分是確定攻擊媒介。根據(jù)Ramakrishna表示，這次Office 365攻擊很可能是通過“獲取憑據(jù)和/或通過(當(dāng)時的)零日漏洞訪問第三方應(yīng)用程序”而發(fā)生。

Ramakrishna在博客中寫道：“如先前報道，該分析確定威脅行為者未經(jīng)授權(quán)進入我們的環(huán)境，并在2019年10月，在我們的Orion Platform軟件版本進行了偵察。我們尚未確定威脅行為者首次獲得對我們環(huán)境的未經(jīng)授權(quán)訪問權(quán)限的確切日期。我們已經(jīng)確定與我們的Office 365環(huán)境有關(guān)的可疑活動，但我們的調(diào)查尚未發(fā)現(xiàn)Office 365中的特定漏洞，該漏洞可能使威脅參與者通過Office 365進入我們的環(huán)境。”

但是，尚不清楚該公司調(diào)查組是否排除了這種可能性。

Ramakrishna確認“SolarWinds電子郵件帳戶已被盜用，并被用于以編程方式訪問業(yè)務(wù)和技術(shù)部門SolarWinds目標人員的帳戶。”

SolarWinds拒絕進一步討論該帳戶如何被盜用。

在星期三發(fā)表的另一篇博客文章中，Ramakrishna談到該公司不斷改進的安全措施。其中包括零信任和最低特權(quán)訪問網(wǎng)絡(luò)，以及通過增加對SolarWinds環(huán)境中所有SaaS工具的持續(xù)監(jiān)視和檢查來緩解第三方風(fēng)險。

此次調(diào)查更新是在SolarWinds首次宣布供應(yīng)鏈攻擊后的7周后。從那以后，很多受害者被揭露，包括SolarWinds客戶微軟。在12月31日，這家科技巨頭確認黑客已經(jīng)訪問微軟源代碼，但未更改或獲取它。在此之前，微軟與FireEye和GoDaddy合作，針對該惡意軟件創(chuàng)建抵御程序，F(xiàn)ireEye將其稱為“Sunburst”。

此外，其他供應(yīng)商也報告其Office 365環(huán)境遭受數(shù)據(jù)泄露攻擊。上個月，Malwarebytes披露遭受SolarWinds相同攻擊者的攻擊，盡管它不是SolarWinds的客戶。Malwarebytes公司首席執(zhí)行官Marcin Kleczynski在博客文章中，證實另一個入侵媒介的存在–通過濫用對Microsoft Office 365和Azure環(huán)境具有特權(quán)訪問的“休眠電子郵件保護產(chǎn)品”來運作。

同樣的民族國家攻擊者也攻擊了Mimecast。微軟通知該電子郵件安全供應(yīng)商，由Mimecast頒發(fā)的Microsoft 365 Exchange Web Services身份驗證證書被攻擊者竊取。盡管他們最初并未將事件與SolarWinds黑客聯(lián)系起來，但Mimecast最終證實，該數(shù)字證書是由SolarWinds攻擊背后相同攻擊者所竊取。