攻击SolarWinds的骇客再度骇入IT供应链，新目标是经销及云端服务商

微软警告，去年藉SolarWinds骇入众多美国-及企业的俄罗斯骇客组织Nobelium，今年仍持续利用软件供应链弱点伺机攻击全球企业。微软研判今年重点转向经销及云端服务商。

西方资安业者及美国-相信，Nobelium和俄罗斯-外国情报单位SVR有关，又称Cozy Bear、The Dukes或APT 29。去年它利用SolarWinds软件Orion的更新机制，在数万家SolarWinds用户，包括美国商务部、国防部以及微软、FireEye的内部网络下载后门程式。

微软客户安全、信任企业副总裁Tom Burt指出，Nobelium企图复制之前攻击的老路数，瞄准全球IT供应链环节中的组织，但这次目标略为不同，找上了经销商以及为客户客制化、部署与管理云端服务的技术服务供应商。微软认为，Nobelium最终想借道经销商和客户IT系统的直接管道，再冒充这些业者的人员，以便直接存取客户的内部系统。

微软指出，他们今年5月观察到最近一波攻击后，已通知受影响的客户及其伙伴，并提供支援服务。5个月来，接获微软通知的经销及科技服务供应商超过140家，他们相信其中14家公司可能已经被骇，所幸入侵活动还在初期就被发现。

分析针对经销及服务商的攻击，俄罗斯骇客并非开采软件漏洞，而是使用密码泼洒（password spray）和钓鱼信件来窃取受害组织用户的登入凭证，取得存取权限。

微软相信，这次攻击是Nobelium今年夏天更大一波活动的一部分。3年前到今年7月以前，微软侦测到的所有国家骇客攻击次数也才20,500次。但从7月1日到10月19日，微软一共通知了609家企业，光是被Nobelium攻击的案例就将近2.3万次，不过成功比例仅个位数。

微软强调自己也已强化和产品经销商及服务业者的安全要求，以防遭Nobelium毒手。例如去年微软要求经销商同意微软得以解决经销商安全事件、要求他们在环境中导入安全防护，例如合作伙伴和微软介接的Partner Portal要限制存取、存取Portal应启动多因素验证（MFA），并表示未来也视需要强化安全。

微软直指，这波活动显示俄罗斯-正试图以长期、系统性手法对科技供应链下手，企图从不同切入点骇入企业，以建立监控机制。该公司也表示正与欧美-单位及资安社群，联手研究并防范这个骇客组织。

9月间资安研究人员发现Nobelium接连发动攻击，旨在受害服务器上植入后门程式以长期渗透或窃取资料。骇客锁定微软Active Directory Federation Services (AD FS)服务器，在取得外泄的用户登入凭证后，进一步在AD FS服务器内植入永久性的后门程式FoggyWeb。卡巴斯基则是在6月于DNS劫持的攻击中，发现可能来自Nobelium的Tomiris。