微軟:俄羅斯黑客5月來至少入侵14間IT供應鏈公司

撰文:許懿安
出版:更新:

美國微軟(Microsoft)副總裁伯特(Tom Burt)10月24日在微軟網站發布網誌,稱名為「鍩」(Nobelium)的黑客組瞄準全球IT供應鏈,自5月來有140間管理服務供應商(MSP)和雲服務供應商受攻擊,至少有14間被入侵。

「鍩」與2020年攻擊SolarWinds客戶的幕後黑手是同一個行動者。它當時入侵美國財政部、國務院、國防部及美國國際開發署等部門。美國及其他國家稱它是俄羅斯對外情報局(SVR)的一部份。美國政府2021年4月正式指責SVR涉協調針對SolarWinds的網絡間諜活動。

伯特稱,「鍩」今夏發動一波大的攻擊。7月1日至10月19日這段期間,微軟接獲609名客戶報告被攻擊22,868次。在這段期間的攻擊成功率很低。相對而言,在2021年7月1日之前,微軟在過去3年接獲客戶遭國家行為者攻擊20,500次。

Nobelium通過第三方軟件提供商Solarwinds潛入美國聯邦政府機構和各大公司。(Reuters)

「鍩」一如以往使用一個多樣化以及不斷變化的工具包,包括一大堆工具和戰術,從惡意軟件、密碼噴劑(password sprays)、證書盜竊(token theft)到API濫用和魚叉式網絡釣魚。

這批攻擊中,為客戶部署以及管理雲服務和類似技術的經銷商和技術服務提供商是主要目標。

這一輪攻擊顯示「鍩」仍在嘗試發動類似對SolarWinds的攻擊,以獲得對俄方目標的系統的長期訪問能力,並建立滲透與間諜渠道。