SolarWinds Office 365環(huán)境遭攻擊

下面讓我們看看有關(guān)民族國家網(wǎng)絡(luò )攻擊者攻擊SolarWinds的更多詳細信息。

在周三發(fā)布的更新中，SolarWinds公司總裁兼首席執行官Sudhakar Ramakrishna稱(chēng)，該公司正在進(jìn)行的調查確定，此次供應鏈攻擊背后的民族國家攻擊者首先是進(jìn)入SolarWinds的Office 365環(huán)境。從那里，攻擊者獲取員工的登陸憑據，獲得對Orion構建環(huán)境的特權訪(fǎng)問(wèn)，然后為該平臺的軟件更新添加后門(mén)程序。此次攻擊活動(dòng)導致更新受感染，并使政府機構和技術(shù)巨頭等重要客戶(hù)受到攻擊。

該調查的主要組成部分是確定攻擊媒介。根據Ramakrishna表示，這次Office 365攻擊很可能是通過(guò)“獲取憑據和/或通過(guò)（當時(shí)的）零日漏洞訪(fǎng)問(wèn)第三方應用程序”而發(fā)生。

Ramakrishna在博客中寫(xiě)道：“如先前報道，該分析確定威脅行為者未經(jīng)授權進(jìn)入我們的環(huán)境，并在2019年10月，在我們的Orion Platform軟件版本進(jìn)行了偵察。我們尚未確定威脅行為者首次獲得對我們環(huán)境的未經(jīng)授權訪(fǎng)問(wèn)權限的確切日期。我們已經(jīng)確定與我們的Office 365環(huán)境有關(guān)的可疑活動(dòng)，但我們的調查尚未發(fā)現Office 365中的特定漏洞，該漏洞可能使威脅參與者通過(guò)Office 365進(jìn)入我們的環(huán)境?！?/p>

但是，尚不清楚該公司調查組是否排除了這種可能性。

Ramakrishna確認“SolarWinds電子郵件帳戶(hù)已被盜用，并被用于以編程方式訪(fǎng)問(wèn)業(yè)務(wù)和技術(shù)部門(mén)SolarWinds目標人員的帳戶(hù)?！?/p>

SolarWinds拒絕進(jìn)一步討論該帳戶(hù)如何被盜用。

在星期三發(fā)表的另一篇博客文章中，Ramakrishna談到該公司不斷改進(jìn)的安全措施。其中包括零信任和最低特權訪(fǎng)問(wèn)網(wǎng)絡(luò )，以及通過(guò)增加對SolarWinds環(huán)境中所有SaaS工具的持續監視和檢查來(lái)緩解第三方風(fēng)險。

此次調查更新是在SolarWinds首次宣布供應鏈攻擊后的7周后。從那以后，很多受害者被揭露，包括SolarWinds客戶(hù)微軟。在12月31日，這家科技巨頭確認黑客已經(jīng)訪(fǎng)問(wèn)微軟源代碼，但未更改或獲取它。在此之前，微軟與FireEye和GoDaddy合作，針對該惡意軟件創(chuàng )建抵御程序，FireEye將其稱(chēng)為“Sunburst”。

此外，其他供應商也報告其Office 365環(huán)境遭受數據泄露攻擊。上個(gè)月，Malwarebytes披露遭受SolarWinds相同攻擊者的攻擊，盡管它不是SolarWinds的客戶(hù)。Malwarebytes公司首席執行官Marcin Kleczynski在博客文章中，證實(shí)另一個(gè)入侵媒介的存在–通過(guò)濫用對Microsoft Office 365和Azure環(huán)境具有特權訪(fǎng)問(wèn)的“休眠電子郵件保護產(chǎn)品”來(lái)運作。

同樣的民族國家攻擊者也攻擊了Mimecast。微軟通知該電子郵件安全供應商，由Mimecast頒發(fā)的Microsoft 365 Exchange Web Services身份驗證ssl/' target='_blank'>證書(shū)被攻擊者竊取。盡管他們最初并未將事件與SolarWinds黑客聯(lián)系起來(lái)，但Mimecast最終證實(shí)，該數字證書(shū)是由SolarWinds攻擊背后相同攻擊者所竊取。