6月25日,微軟發(fā)布一篇博文稱,他們發(fā)現(xiàn)SolarWinds事件背后的黑客組織Nobelium入侵了微軟的客戶支持系統(tǒng),并成功破壞了至少三個(gè)實(shí)體。
微軟威脅情報(bào)中心表示他們發(fā)現(xiàn)了Nobelium組織一直在進(jìn)行密碼噴灑攻擊和蠻力攻擊,以獲取對(duì)一些公司網(wǎng)絡(luò)的訪問權(quán)限。
密碼噴灑:對(duì)密碼進(jìn)行噴灑式的攻擊,屬于自動(dòng)化密碼猜測(cè)的一種。該攻擊手法會(huì)對(duì)所有用戶同時(shí)執(zhí)行特定的密碼登錄嘗試,增加破解的幾率并且避免賬戶被鎖定。
蠻力攻擊:又稱窮舉攻擊或暴力破解,是一種密碼分析的方法。即將密碼進(jìn)行逐個(gè)推算直到找出真正的密碼為止。
不過,微軟表示,該組織的大部分攻擊都沒有成功,目前只有三個(gè)實(shí)體已確定被該組織破壞。
在這次攻擊活動(dòng)中,Nobelium針對(duì)的目標(biāo)主要為IT公司(57%),其次是政府組織(20%),非政府組織、智庫、以及金融業(yè)占較小的比例。
此外,以被攻擊者的所屬國家來看,美國企業(yè)被攻擊比例最高,約占45%,其次是占比10%的英國,以及針對(duì)德國和加拿大企業(yè)的少量攻擊。據(jù)統(tǒng)計(jì),共有36個(gè)國家成為此次攻擊的目標(biāo)。
在對(duì)此次攻擊進(jìn)行調(diào)查的期間,微軟還發(fā)現(xiàn),一名微軟客服人員的電腦被Nobelium組織入侵。據(jù)調(diào)查,該客服人員的電腦上被安裝了一個(gè)能夠竊取信息的木馬程序。
由于該電腦可以訪問少數(shù)客戶的基本賬戶信息,所以微軟認(rèn)為,黑客將會(huì)利用從中收集到的信息,對(duì)特定的微軟客戶進(jìn)行“高針對(duì)性”的釣魚攻擊。
據(jù)路透社報(bào)道,Nobelium組織在5月下半旬訪問了這些賬戶信息,其中包括賬單聯(lián)系信息、客戶支付服務(wù)以及其他項(xiàng)目。
目前,微軟已針對(duì)此次攻擊做出了相關(guān)響應(yīng),刪除了該設(shè)備的訪問權(quán)限并對(duì)其進(jìn)行保護(hù)。此外,微軟正在通知所有受影響的客戶,并提供支持以保護(hù)他們的賬戶安全。
Nobelium組織,也被稱為 APT29、Cozy Bear 和 The Dukes。被認(rèn)為是SolarWinds供應(yīng)鏈攻擊事件的始作俑者。
不久前,該組織還被曝劫持了美國國際開發(fā)署(USAID)的 Constant Contact 帳戶。美國國際開發(fā)署是一個(gè)負(fù)責(zé)提供對(duì)外援助和發(fā)展援助的美國機(jī)構(gòu)。
由 Nobelium組織發(fā)送的 USAID 釣魚郵件
該組織利用該賬戶進(jìn)行了有針對(duì)性的網(wǎng)絡(luò)釣魚攻擊,以分發(fā)惡意軟件并訪問內(nèi)部網(wǎng)絡(luò)。
文章轉(zhuǎn)載自freebuf