现在让我们看一下有关民族国家网络攻击者对SolarWinds的攻击的更多细节。在周三发布的更新中,SolarWinds总裁兼首席执行官SudhakarRamakrishna表示,该公司正在进行的调查确定,供应链攻击背后的民族国家攻击者首先获得了对SolarWindsOffice365环境的访问权限。从那里,攻击者获取了员工的登录凭证,获得了对Orion构建环境的特权访问权限,然后为该平台的软件更新添加了后门。该活动导致更新受感染,并暴露了包括政府机构和技术巨头在内的主要客户。这项调查的一个主要组成部分是识别攻击媒介。根据Ramakrishna的说法,Office365攻击可能是通过“通过(当时)零日漏洞获取凭据和/或访问第三方应用程序”发生的。Ramakrishna在博文中写道:“正如之前报道的那样,该分析确定威胁行为者未经授权进入我们的环境,并于2019年10月对我们的OrionPlatform软件版本进行了侦察。我们尚未确定威胁行为者的确切日期当首次获得对我们环境的未授权访问时。我们已经确定了与我们的Office365环境相关的可疑活动,但我们的调查尚未发现Office365中的特定漏洞,该漏洞可能允许Office365威胁行为者进入我们的环境。”不过,尚不清楚该公司的调查团队是否已经排除了这种可能性。Ramakrishna证实,“SolarWinds电子邮件帐户遭到入侵,并被用于以编程方式访问SolarWinds的帐户,目标是商业和技术领域的个人。”SolarWinds拒绝进一步讨论账户是如何被盗用的。在周三发表的另一篇博文中,罗摩克里希纳谈到了公司不断改进的安全措施。其中包括对网络的零信任和最低权限访问,以及通过增加对SolarWinds环境中所有SaaS工具的持续监控和检查来降低第三方风险。此次调查更新是在SolarWinds首次宣布供应链攻击发生七周后发布的。此后,许多受害者被曝光,其中包括SolarWinds的客户微软。12月31日,这家科技巨头证实黑客访问了Microsoft源代码,但并未更改或获取它。在此之前,微软与FireEye和GoDaddy合作创建了针对恶意软件的防御系统,FireEye将其称为“Sunburst”。此外,其他供应商也报告了对其Office365环境的数据泄露攻击。上个月,Malwarebytes透露它遭到了与SolarWinds相同的攻击者的攻击,尽管它不是SolarWinds的客户。在一篇博文中,Malwarebytes首席执行官MarcinKleczynski证实了另一种入侵媒介的存在——通过滥用“休眠电子邮件保护产品”以及对MicrosoftOffice365和Azure环境的特权访问来进行操作。同样的民族国家攻击者也攻击了Mimecast。微软通知邮件安全厂商,Mimecast颁发的Microsoft365ExchangeWebServices认证证书被攻击者窃取。尽管他们最初并未将该事件与SolarWinds黑客攻击联系起来,但Mimecast最终确认数字证书被SolarWinds攻击背后的同一攻击者窃取。
