當地時間10月25日微軟公司在其博客文章中警告稱，攻擊IT管理解決方案提應商SolarWinds的與俄羅斯有關聯的網絡間諜組織仍在發動供應鏈攻擊。這個被微軟追蹤為Nobelium（其他公司則追蹤為APT29和Cozy Bear）的威脅行為者，自2021年5月以來一直在開展持續攻擊活動，目標是至少140家組織，其中14家系統已被攻陷。

　　在SolarWinds攻擊中，黑客將他們的第一階段惡意軟件發送給了數千個組織，并利用他們對SolarWinds系統的訪問權限，侵入了大約100個機構的網絡。

　　在最近的攻擊中，微軟表示，Nobelium的目標是“代表客戶定制、部署和管理云服務和其他技術的經銷商和其他技術服務提供商”。

　　微軟表示：“我們相信，Nobelium最終希望利用分銷商可能擁有的任何直接訪問客戶IT系統的渠道，更容易地冒充一家機構的可信技術合作伙伴，訪問其下游客戶。”

　　從7月1日到10月19日，微軟公司向600多名客戶通報了近2.3萬起與NOBELIUM相關的攻擊。雖然只有少數目標的系統遭到了攻擊，但微軟想強調的是，在7月1日之前，它只向客戶發出了20,500條關于過去三年里觀察到的所有國家支持的攻擊的警報。

　　微軟表示：“最近的活動是另一個跡象，表明俄羅斯正試圖獲得長期、系統地進入技術供應鏈的各個點，并建立一種機制，對俄羅斯政府目前或未來感興趣的目標進行監視。”

　　在本月早些時候發布的一份報告中，微軟表示，其觀察到的國家支持的網絡攻擊中，有58%是俄羅斯發起的。

　　周一的警報中指出，最近的Nobelium攻擊并沒有利用任何軟件漏洞，而是利用釣魚和密碼噴灑等技術竊取合法憑證，進入目標系統。

　　微軟的企業副總裁湯姆·伯特在接受CyberScoop采訪時，回應了兩個最為受關切的問題。

　　技術經銷商為何成為有趣的或重要的攻擊目標？

　　湯姆·伯特稱，他們是一個非常有趣的目標，因為他們是另一類供應鏈參與者，通常在其客戶的帳戶中擁有升級的特權。這些人追求 SolarWinds 的原因之一是因為他們進行了研究，并且他們明白 SolarWinds Orion 軟件，因為它是網絡管理和優化軟件，在他們合作的客戶網絡中必然具有很高的特權。這些云服務經銷商也是如此。他們通常會在他們的客戶網絡中擁有一些升級的特權。

　　Nobelium 正在做什么，這個俄羅斯 SVR 集團正在做什么，他們正在尋找可以上線的供應鏈中的那些環節。請記住，這些人的操作安全性非常好，所以一旦他們進來，他們就喜歡呆在那里躲起來。他們想進入這些經銷商網絡中的一些，然后他們可以隱藏在那里并從那里控制到他們所瞄準的終端目標。

　　這非常重要，因為它是供應鏈的不同部分。SolarWinds 專門針對使用其軟件的人。從某種意義上說，這是更廣泛的，因為他們追求許多不同的公司，例如多個不同的 SolarWinds，但這些公司都是這些經銷商，這使Nobelium有可能接觸到所有這些經銷商的客戶。

　　攻擊者使用哪些最新的黑客技術？

　　據湯姆·伯特稱，本輪攻擊有兩個階段。第一階段是，他們是如何進入經銷商網絡的？他們所做的主要是密碼噴霧。順便說一句，對于大多數民族國家支持的威脅行為者，包括這些家伙和其他俄羅斯的，大多數耐心的國家級威脅行為者，密碼噴霧和暴力密碼攻擊只是他們的首選。這就是他們所做的，他們一直都在這樣做。在這種情況下，他們是否對這些經銷商進行了密碼噴灑。同樣，這就是他們進入SolarWinds網絡的方式，這是微軟的理解。伯特認為這并沒有完全證實他們是如何進入的，但微軟認為他們是通過某種密碼泄露進入SolarWinds的，這些手法只是標準技術。

　　然而，這里的新東西是他們當時所做的。就像他們為SolarWinds發明了一種新技術——他們將惡意軟件放入Orion組件中，因為它是在 SolarWinds 下文中構建的，然后在該更新過程中將其惡意軟件帶入客戶環境中——同樣地，他們‘正在使用這些公司在其客戶環境中擁有的升級特權。微軟相信他們的意圖是使用這些升級的特權然后滲透到這些客戶環境中，這就是他們進行更具創新性、新穎性的工作的地方。微軟的博客中，描述了經銷商和他們的客戶應該采取的保護自己的步驟。

　　微軟還提供了技術指導，幫助組織檢測由Nobelium發起的攻擊。上個月，微軟的博客文章中，詳細介紹了該威脅組織使用的一款惡意軟件，從被攻擊的服務器中竊取數據。Mandiant也一直在監控這些攻擊，這家網絡安全公司在北美和歐洲發現了下游的受害者。