前情回顾·微软安全争议
安全内参3月11日消息,微软表示,俄罗斯支持黑客在1月入侵公司网络以后,已扩大了入侵范围并对客户发起进一步攻击,成功侵入了微软的源代码和内部系统。
这起入侵事件的实施者是名为“午夜暴雪”的黑客组织,该组织通常被认为是俄罗斯联邦安全局的附属组织。该组织还有多个代号,包括APT29、Cozy Bear、CozyDuke、The Dukes、Dark Halo和Nobelium。
在1月事件初次披露时,微软表示,“午夜暴雪”首先利用了接入公司网络的一台测试设备的弱密码,经过数月尝试成功进入了高管的电子邮件帐号。没有迹象表明任何源代码或生产系统遭到破坏。
通过电子邮件发送的机密信息
在3月8日发布的更新公告中,微软称他们发现了证据,表明“午夜暴雪”利用最初获得的信息进一步渗透了公司网络,并成功攻破了源代码和内部系统。他们已经开始使用这些专有信息对微软及其客户发起后续攻击。
更新公告称,“最近几周,我们发现‘午夜暴雪’一直在利用最初从微软企业电子邮件系统泄露的信息,来获取或尝试获取未经授权的访问权限。其中包括对一些公司源代码存储库和内部系统的访问权限。截至目前,尚未发现任何由微软托管的面向客户的系统受到破坏。”
微软在1月的披露中表示,“午夜暴雪”使用了密码喷洒攻击技术,来入侵公司网络上的“遗留的非生产测试租户帐号”。这些细节说明该帐号被废弃后并没有被移除,这违背了“废弃即移除”这一对网络安全至关重要的操作原则。此外,这些细节还显示,用于登录该帐号的密码非常弱,易受密码喷洒攻击。所谓密码喷洒,就是发送一系列从先前入侵行动中获取的凭据来猜测密码。
更新公告显示,在接下来的几个月里,“午夜暴雪”一直在利用早期获得的信息发动进一步攻击,本就很高的密码喷洒成功率得到进一步提升。
前所未有的全球性威胁
微软官方称:
显然,“午夜暴雪”正尝试利用其发现的不同类型的机密信息,其中一些信息是通过电子邮件在客户和微软之间共享的。我们在被泄电子邮件中发现了这些机密信息,便一直在联系相关客户,协助他们采取缓解措施。2024年1月,“午夜暴雪”已经发动了相当多的攻击。到了2月,该组织某些类型的攻击数量(比如密码喷洒)增加了多达10倍。
“午夜暴雪”正在发动持续攻击。这一威胁行为者正以极高的协调能力和专注度持续投入大量资源。他们可能正在利用获取的信息绘制目标区域的全景,并提升这方面的能力。这反映了前所未有的全球性威胁景观,特别是在复杂的国家级攻击方面。
这次攻击始于2023年11月,直到今年1月才被发现。微软当时表示,通过此次入侵,“午夜暴雪”得以监视高管和安全人员的电子邮件帐号。因此,该组织非常有可能在长达三个月的时间内持续读取敏感通信。微软表示,“午夜暴雪”发动攻击的一个动机是评估微软对威胁组织的了解程度。微软在上周五再次重申了当初的看法,没有证据表明黑客已经访问了面向客户的系统。
“午夜暴雪”是最活跃的高级持续威胁(APT)组织之一。APT指由国家支持的技术娴熟、资金雄厚的黑客组织。“午夜暴雪”是太阳风(SolarWinds)供应链攻击的幕后黑手,该攻击导致美国能源、商务、财政和国土安全部以及约100家私营部门公司被黑。
上周,英国国家网络安全中心(NCSC)和国际合作伙伴警告称,近几个月来,“午夜暴雪”组织已经扩大了活动范围,将针对航空、教育、执法、地方和州议会、政府财政部门和军事组织发起攻击。
参考资料:https://arstechnica.com/security/2024/03/microsoft-says-kremlin-backed-hackers-accessed-its-source-and-internal-systems/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。