相信俄罗斯人在网络攻击中使用了Microsoft经销商

2020-12-25 23:52:07

随着美国对联邦机构,私营公司和国家基础设施进行的俄罗斯网络攻击影响深远,新证据表明,黑客通过多种渠道猎杀了受害者。

迄今为止发现的最严重的入侵都来自于奥斯汀公司SolarWinds的软件,该软件的更新受到了俄罗斯人的妥协。但是来自安全公司CrowdStrike的新证据表明,代表Microsoft销售软件的公司也曾被用来入侵Microsoft Office 365软件的客户。

由于经常委托转售商来设置和维护客户的软件,因此像SolarWinds一样,它们一直是俄罗斯黑客的理想之地,也是微软云客户的噩梦,而微软的云客户仍在评估俄罗斯黑客已爬入其系统的深度。

网络安全公司Obsidian的创始人Glenn Chisholm说:“他们无法直接进入Microsoft 365,因此他们的目标是供应链中最薄弱的环节:转售商。”

CrowdStrike周三证实,这也是攻击的目标。在CrowdStrike的情况下,俄罗斯人没有使用SolarWinds,而是使用Microsoft的经销商,因此攻击没有成功。 CrowdStrike的女发言人Ilina Dimitrova拒绝透露公司攻击事件的详细信息。

这种方法与2013年对Target的攻击不同,后者通过零售商的供热和制冷供应商入侵。

俄罗斯最近的袭击,据认为已于去年春天开始,已经暴露了软件供应链中的巨大盲点。公司可以随心所欲地跟踪网络钓鱼攻击和恶意软件,但只要盲目地信任Microsoft,Salesforce Google的G-Suite,Zoom,Slack,SolarWinds等供应商和云服务,并允许他们广泛访问员工电子邮件和公司网络安全专家说,网络永远不会安全。

Chisholm先生说:“这些云服务为攻击者创造了一个相互联系和机会的网络。” “我们现在目睹的是针对这些现代云平台的新一波现代攻击,我们需要2021年的防御。”

一些报道将最新发展与违反微软本身相混淆。但是该公司表示,它坚持上周的声明,即它没有被黑客入侵,也没有用于攻击客户。

但是CrowdStrike的发现表明,俄罗斯黑客是如何利用其经销商间接地瞄准其客户的。 CrowdStrike在周三的博客文章中说,黑客试图从经销商帐户中读取该公司的电子邮件,但无法访问其数据或系统。

直到最近几周,美国官员才发现该攻击,只有当一家私人网络安全公司FireEye通知美国情报,黑客已逃避了防御层时,才发现该攻击。

显然,据报道最早遭到破坏的美国财政部和商务部只是规模更大的行动的一部分,其复杂程度甚至令那些震惊了俄罗斯的五角大楼和美国民用机构遭到黑客入侵的专家甚至震惊。

美国国家情报局(National Security Agency)是美国第一家情报机构,既入侵国外网络,也捍卫国家安全机构免受攻击-显然直到上周FireEye通知了SolarWinds制造的网络监控软件时,才知道该漏洞。国家安全局本身使用SolarWinds软件。

五角大楼和国土安全部是两个最令人尴尬的漏洞,其网络安全和基础设施安全局上个月监督了美国大选系统的成功防御。

攻击背后的俄罗斯黑客入侵了美国财政部高级官员7月份使用的电子邮件系统。 据《华尔街日报》报道,至少有两打组织的计算机(包括思科,英特尔,英伟达,德勤和加利福尼亚州立医院)似乎遭到了黑客攻击。 一些团体,例如英特尔和德勤,表示攻击并未影响他们最精致的系统。