信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全內(nèi)參”。

“午夜暴雪”組織利用此前竊取的機(jī)密信息對(duì)微軟及其客戶發(fā)起進(jìn)一步攻擊，微軟公司雖然發(fā)現(xiàn)了攻擊，但無(wú)法快速清除對(duì)手，導(dǎo)致源代碼和內(nèi)部系統(tǒng)失陷。

安全內(nèi)參3月11日消息，微軟表示，俄羅斯支持黑客在1月入侵公司網(wǎng)絡(luò)以后，已擴(kuò)大了入侵范圍并對(duì)客戶發(fā)起進(jìn)一步攻擊，成功侵入了微軟的源代碼和內(nèi)部系統(tǒng)。

這起入侵事件的實(shí)施者是名為“午夜暴雪”的黑客組織，該組織通常被認(rèn)為是俄羅斯聯(lián)邦安全局的附屬組織。該組織還有多個(gè)代號(hào)，包括APT29、Cozy Bear、CozyDuke、The Dukes、Dark Halo和Nobelium。

在1月事件初次披露時(shí)，微軟表示，“午夜暴雪”首先利用了接入公司網(wǎng)絡(luò)的一臺(tái)測(cè)試設(shè)備的弱密碼，經(jīng)過(guò)數(shù)月嘗試成功進(jìn)入了高管的電子郵件帳號(hào)。沒(méi)有跡象表明任何源代碼或生產(chǎn)系統(tǒng)遭到破壞。

通過(guò)電子郵件發(fā)送的機(jī)密信息

在3月8日發(fā)布的更新公告中，微軟稱他們發(fā)現(xiàn)了證據(jù)，表明“午夜暴雪”利用最初獲得的信息進(jìn)一步滲透了公司網(wǎng)絡(luò)，并成功攻破了源代碼和內(nèi)部系統(tǒng)。他們已經(jīng)開始使用這些專有信息對(duì)微軟及其客戶發(fā)起后續(xù)攻擊。

更新公告稱，“最近幾周，我們發(fā)現(xiàn)‘午夜暴雪’一直在利用最初從微軟企業(yè)電子郵件系統(tǒng)泄露的信息，來(lái)獲取或嘗試獲取未經(jīng)授權(quán)的訪問(wèn)權(quán)限。其中包括對(duì)一些公司源代碼存儲(chǔ)庫(kù)和內(nèi)部系統(tǒng)的訪問(wèn)權(quán)限。截至目前，尚未發(fā)現(xiàn)任何由微軟托管的面向客戶的系統(tǒng)受到破壞。”

微軟在1月的披露中表示，“午夜暴雪”使用了密碼噴灑攻擊技術(shù)，來(lái)入侵公司網(wǎng)絡(luò)上的“遺留的非生產(chǎn)測(cè)試租戶帳號(hào)”。這些細(xì)節(jié)說(shuō)明該帳號(hào)被廢棄后并沒(méi)有被移除，這違背了“廢棄即移除”這一對(duì)網(wǎng)絡(luò)安全至關(guān)重要的操作原則。此外，這些細(xì)節(jié)還顯示，用于登錄該帳號(hào)的密碼非常弱，易受密碼噴灑攻擊。所謂密碼噴灑，就是發(fā)送一系列從先前入侵行動(dòng)中獲取的憑據(jù)來(lái)猜測(cè)密碼。

更新公告顯示，在接下來(lái)的幾個(gè)月里，“午夜暴雪”一直在利用早期獲得的信息發(fā)動(dòng)進(jìn)一步攻擊，本就很高的密碼噴灑成功率得到進(jìn)一步提升。

前所未有的全球性威脅

微軟官方稱：

顯然，“午夜暴雪”正嘗試?yán)闷浒l(fā)現(xiàn)的不同類型的機(jī)密信息，其中一些信息是通過(guò)電子郵件在客戶和微軟之間共享的。我們?cè)诒恍闺娮余]件中發(fā)現(xiàn)了這些機(jī)密信息，便一直在聯(lián)系相關(guān)客戶，協(xié)助他們采取緩解措施。2024年1月，“午夜暴雪”已經(jīng)發(fā)動(dòng)了相當(dāng)多的攻擊。到了2月，該組織某些類型的攻擊數(shù)量（比如密碼噴灑）增加了多達(dá)10倍。

“午夜暴雪”正在發(fā)動(dòng)持續(xù)攻擊。這一威脅行為者正以極高的協(xié)調(diào)能力和專注度持續(xù)投入大量資源。他們可能正在利用獲取的信息繪制目標(biāo)區(qū)域的全景，并提升這方面的能力。這反映了前所未有的全球性威脅景觀，特別是在復(fù)雜的國(guó)家級(jí)攻擊方面。

這次攻擊始于2023年11月，直到今年1月才被發(fā)現(xiàn)。微軟當(dāng)時(shí)表示，通過(guò)此次入侵，“午夜暴雪”得以監(jiān)視高管和安全人員的電子郵件帳號(hào)。因此，該組織非常有可能在長(zhǎng)達(dá)三個(gè)月的時(shí)間內(nèi)持續(xù)讀取敏感通信。微軟表示，“午夜暴雪”發(fā)動(dòng)攻擊的一個(gè)動(dòng)機(jī)是評(píng)估微軟對(duì)威脅組織的了解程度。微軟在上周五再次重申了當(dāng)初的看法，沒(méi)有證據(jù)表明黑客已經(jīng)訪問(wèn)了面向客戶的系統(tǒng)。

“午夜暴雪”是最活躍的高級(jí)持續(xù)威脅（APT）組織之一。APT指由國(guó)家支持的技術(shù)嫻熟、資金雄厚的黑客組織。“午夜暴雪”是太陽(yáng)風(fēng)（SolarWinds）供應(yīng)鏈攻擊的幕后黑手，該攻擊導(dǎo)致美國(guó)能源、商務(wù)、財(cái)政和國(guó)土安全部以及約100家私營(yíng)部門公司被黑。

上周，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）和國(guó)際合作伙伴警告稱，近幾個(gè)月來(lái)，“午夜暴雪”組織已經(jīng)擴(kuò)大了活動(dòng)范圍，將針對(duì)航空、教育、執(zhí)法、地方和州議會(huì)、政府財(cái)政部門和軍事組織發(fā)起攻擊。