下面让我们看看有关民族国家网络攻击者攻击SolarWinds的更多详细信息。
在周三发布的更新中,SolarWinds公司总裁兼首席执行官Sudhakar Ramakrishna称,该公司正在进行的调查确定,此次供应链攻击背后的民族国家攻击者首先是进入SolarWinds的Office 365环境。从那里,攻击者获取员工的登陆凭据,获得对Orion构建环境的特权访问,然后为该平台的软件更新添加后门程序。此次攻击活动导致更新受感染,并使政府机构和技术巨头等重要客户受到攻击。
该调查的主要组成部分是确定攻击媒介。根据Ramakrishna表示,这次Office 365攻击很可能是通过“获取凭据和/或通过(当时的)零日漏洞访问第三方应用程序”而发生。
Ramakrishna在博客中写道:“如先前报道,该分析确定威胁行为者未经授权进入我们的环境,并在2019年10月,在我们的Orion Platform软件版本进行了侦察。我们尚未确定威胁行为者首次获得对我们环境的未经授权访问权限的确切日期。我们已经确定与我们的Office 365环境有关的可疑活动,但我们的调查尚未发现Office 365中的特定漏洞,该漏洞可能使威胁参与者通过Office 365进入我们的环境。”
但是,尚不清楚该公司调查组是否排除了这种可能性。
Ramakrishna确认“SolarWinds电子邮件帐户已被盗用,并被用于以编程方式访问业务和技术部门SolarWinds目标人员的帐户。”
SolarWinds拒绝进一步讨论该帐户如何被盗用。
在星期三发表的另一篇博客文章中,Ramakrishna谈到该公司不断改进的安全措施。其中包括零信任和最低特权访问网络,以及通过增加对SolarWinds环境中所有SaaS工具的持续监视和检查来缓解第三方风险。
此次调查更新是在SolarWinds首次宣布供应链攻击后的7周后。从那以后,很多受害者被揭露,包括SolarWinds客户微软。在12月31日,这家科技巨头确认黑客已经访问微软源代码,但未更改或获取它。在此之前,微软与FireEye和GoDaddy合作,针对该恶意软件创建抵御程序,FireEye将其称为“Sunburst”。
此外,其他供应商也报告其Office 365环境遭受数据泄露攻击。上个月,Malwarebytes披露遭受SolarWinds相同攻击者的攻击,尽管它不是SolarWinds的客户。Malwarebytes公司首席执行官Marcin Kleczynski在博客文章中,证实另一个入侵媒介的存在–通过滥用对Microsoft Office 365和Azure环境具有特权访问的“休眠电子邮件保护产品”来运作。
同样的民族国家攻击者也攻击了Mimecast。微软通知该电子邮件安全供应商,由Mimecast颁发的Microsoft 365 Exchange Web Services身份验证证书被攻击者窃取。尽管他们最初并未将事件与SolarWinds黑客联系起来,但Mimecast最终证实,该数字证书是由SolarWinds攻击背后相同攻击者所窃取。
