調查人員說,可疑的俄羅斯駭客在多年以來最嚴重的美國網路攻擊背後,利用經銷商對Microsoft Corp服務的訪問來滲透目標,這些目標沒有從SolarWinds Corp受到損害的網路軟體。
雖然以前僅是對SolarWinds Orion軟體的更新是唯一的切入點,但是安全公司CrowdStrike Holdings Inc週四表示,駭客已經贏得了向其出售Office許可證的供應商的訪問權,並以此來嘗試閱讀CrowdStrike的電子郵件。它沒有具體確定駭客是危害SolarWinds的駭客,但是兩名熟悉CrowdStrike調查的人說他們是。
CrowdStrike使用Office程式進行文字處理,但不使用電子郵件。微軟在12月15日向CrowdStrike指出了幾個月前的失敗嘗試。
不使用SolarWinds的CrowdStrike表示,未發現入侵企圖的影響,因此拒絕透露經銷商名稱。
一位知情人士告訴路透社:“他們透過轉售商的訪問進入,並試圖啟用郵件的'閱讀'特權。” “如果它一直使用Office 365來發送電子郵件,那將是一場比賽。”
許多Microsoft軟體許可都是透過第三方銷售的,並且隨著客戶新增產品或員工,這些公司可以幾乎恆定地訪問客戶的系統。
微軟週四表示,這些客戶需要保持警惕。
微軟高階總監傑夫·瓊斯(Jeff Jones)說:“我們對最近的攻擊進行的調查發現了涉及濫用憑據以獲得訪問許可權的事件,這可能有多種形式。” “我們尚未發現Microsoft產品或雲服務的任何漏洞或危害。”
使用微軟的經銷商試圖闖入一家頂級的數字防禦公司的做法提出了新的問題,即美國官員聲稱這些駭客可以利用多少種途徑來代表俄羅斯政府。
到目前為止,已知的受害者包括CrowdStrike安全競爭對手FireEye Inc和美國國防部,州,商務,財政部和國土安全部。包括微軟和思科系統公司在內的其他大公司表示,他們在內部發現了受汙染的SolarWinds軟體,但沒有發現跡象表明駭客使用了該軟體在其網路上廣泛傳播。
到目前為止,總部位於得克薩斯州的SolarWinds一直是唯一公開確認的初始入侵渠道,儘管數天以來,官員們一直在警告駭客有其他入侵方法。
微軟隨後暗示其客戶仍應保持警惕。在星期二的一篇長篇技術部落格文章的結尾,它用一句話提到看到駭客“從受信任的供應商帳戶中入侵了Microsoft 365 Cloud,攻擊者破壞了供應商環境。”
Microsoft要求其供應商有權訪問客戶端系統,以便安裝產品並允許新使用者。但是,要在任何特定時間發現哪些供應商仍然具有訪問許可權非常困難,以至於CrowdStrike開發併發布了稽核工具來做到這一點。
在透過雲提供商進行了一系列其他攻擊之後,其中包括歸因於中國政府支援的駭客的一系列主要攻擊(稱為CloudHopper),微軟今年對經銷商實施了新的控制措施,包括對多因素身份驗證的要求。
同樣在週四,SolarWinds釋出了更新程式,以修復其旗艦網路管理軟體Orion中的漏洞,這是因為發現了針對該公司產品的第二組駭客。上週五,微軟在另一篇部落格文章中說,SolarWinds的軟體除與俄羅斯有關聯的駭客外,還受到第二組無關的駭客的攻擊。
目前尚不清楚第二批駭客的身份或他們在任何地方成功破解的程度。
俄羅斯否認在駭客入侵中扮演任何角色。