来源: 时间:2023-02-19 17:35:00
调查人员表示,多年来最严重的美国网络攻击背后的疑似俄罗斯黑客利用经销商对微软公司服务的访问,穿透没有太阳风公司网络软件受损的目标。
虽然太阳风猎户座软件的更新以前是唯一已知的入口,但安全公司CrowdStrike Holdings Inc.周四表示,黑客已经获得了向其出售办公许可证的供应商的权限,并利用该权限试图阅读CrowdStrike的电子邮件。它没有具体确定黑客是破坏太阳风的人,但两名熟悉CrowdStrike调查的人说他们是。CrowdStrike使用Office程序进行文字处理,但不使用电子邮件。
微软在12月15日向CrowdStrike指出了几个月前的失败尝试。不使用太阳风的CrowdStrike表示,它没有发现入侵企图的影响,并拒绝透露经销商的姓名。“他们通过经销商的访问进入,并试图启用邮件‘阅读’特权,”一名熟悉调查的人士告诉路透社。“如果它一直使用Office 365发电子邮件,游戏就结束了。”许多微软软件许可证是通过第三方出售的,随着客户添加产品或员工,这些公司可以几乎不间断地访问客户的系统。微软周四表示,这些客户需要保持警惕。
微软高级主管杰夫·琼斯说:“我们对最近攻击的调查发现,涉及滥用凭据获取访问的事件,这可能有几种形式。”“我们没有发现微软产品或云服务的任何漏洞或妥协。”利用微软经销商试图闯入一家顶级数字国防公司引发了新的问题,即美国官员声称代表俄罗斯政府运营的黑客有多少渠道可供选择。
到目前为止,已知的受害者包括CrowdStrike安全竞争对手FireEye Inc.和美国国防部、国务院、商务部、财政部和国土安全部。包括微软和思科系统公司在内的其他大公司表示,他们在内部发现了受污染的太阳风软件,但没有发现黑客利用它在其网络上广泛传播的迹象。
<iframe loading = "lazy" src = "https://open.spotify.com/嵌入-播客/show/3qdrz0Kb0wRugR0FLgDg5t" width = "100%" height = "232" frameborder = "0"></iframe>
到目前为止,总部位于德克萨斯州的太阳风是最初闯入的唯一公开证实的渠道,尽管官员们几天来一直警告说,黑客还有其他方法。路透社一周前报道称,微软的产品被用于攻击。但联邦官员表示,他们没有将其视为最初的载体,软件巨头表示,其系统没有在竞选中使用。
微软随后暗示,其客户仍应保持警惕。在周二的一篇长篇技术博客文章的结尾,它用了一句话提到看到黑客“从可信的供应商账户”到达微软365云,攻击者已经破坏了供应商环境。微软要求其供应商能够访问客户端系统,以便安装产品并允许新用户。
阅读更多:但是发现哪些供应商在任何特定时间仍然拥有访问权限是如此困难,以至于CrowdStrike开发并发布了一个审计工具来做到这一点。在云提供商发生了一系列其他违规行为,包括一系列归咎于中国政府支持的黑客的被称为CloudHopper的重大攻击后,微软今年对其经销商实施了新的控制,包括多因素身份验证的要求。
网络安全和基础设施安全局和国家安全局没有立即置评。同样在周四,太阳风发布了一个更新,以修复其旗舰网络管理软件猎户座的漏洞,此前发现了第二批针对该公司产品的黑客。此前,微软周五发布了一篇单独的博客文章,称太阳风的软件除了与俄罗斯有关联的黑客之外,还被第二批无关的黑客锁定。
第二批黑客的身份,或者他们可能成功侵入任何地方的程度,仍不清楚。俄罗斯否认与黑客攻击有任何关系。
相关推荐
猜你喜欢