APT29最新戰(zhàn)報！微軟稱俄羅斯黑客滲透了其源碼庫和內(nèi)部系統(tǒng)

cn1188181 2024-03-10 發(fā)布于北京

展開全文

當?shù)貢r間3月8日，微軟在一篇博客文章含糊其辭地披露了俄羅斯黑客組織Cozy Bear（也稱為APT29/Midnight Blizzard/Nobelium,與2020年對IT管理解決方案提供商SolarWinds發(fā)起的大規(guī)模供應鏈攻擊是同一組織）發(fā)起的事件繼續(xù)影響著微軟的系統(tǒng)。同日，微軟向美國證券交易委員會（SEC）提交的事件報告文件。這是影響該公司的一系列違規(guī)行為中的最新一起，這些違規(guī)行為在華盛頓引發(fā)了對微軟安全狀況的重大質(zhì)疑。2024年1月份，微軟披露俄羅斯黑客入侵了該公司的系統(tǒng)并成功讀取了高級管理人員的電子郵件。據(jù)微軟已披露的信息，這次泄露比最初看到的情況更嚴重，俄羅斯黑客訪問了微軟的源代碼。目前尚不清楚攻擊者訪問了哪些源代碼，但微軟堅信面向客戶的系統(tǒng)沒有受到損害。

這家全球最大的軟件制造商表示，在所謂的“持續(xù)攻擊”中，有證據(jù)表明黑客組織“正在使用最初從我們公司電子郵件系統(tǒng)中泄露的信息來獲取或試圖獲取未經(jīng)授權(quán)的訪問?！?/span>

“這包括訪問公司的一些源代碼存儲庫和內(nèi)部系統(tǒng)，”微軟在一份簡短的聲明中表示。該公司沒有提供有關(guān)源代碼訪問或哪些內(nèi)部系統(tǒng)遭到破壞的任何其他詳細信息。

雖然微軟沒有準確解釋這些“秘密”包括什么，但它們很可能是身份驗證令牌、API密鑰或憑據(jù)。

微軟稱：“迄今為止，我們還沒有發(fā)現(xiàn)任何證據(jù)表明微軟托管的面向客戶的系統(tǒng)已受到損害?！?/span>

微軟表示，很明顯，午夜暴雪仍在嘗試使用客戶和微軟在電子郵件中共享的不同類型的秘密進行額外的攻擊。

該公司向SEC提交的文件稱該事件正在發(fā)生，并指出“威脅行為者使用并將繼續(xù)使用其獲得的信息來獲取或試圖獲取對公司某些源代碼存儲庫和內(nèi)部系統(tǒng)的未經(jīng)授權(quán)的訪問權(quán)限。”

微軟已將這次攻擊與其追蹤的黑客組織“Midnight Blizzard”（午夜暴雪）聯(lián)系起來，但更普遍的名稱是“Cozy Bear”。據(jù)信，該組織是俄羅斯對外情報部門SVR的一個單位，也是克里姆林宮最有能力的黑客單位之一。

該APT也因SolarWinds供應鏈黑客攻擊而受到指責，它使用密碼噴射攻擊來破壞遺留的非生產(chǎn)測試租戶帳戶并獲得立足點，然后使用該帳戶的權(quán)限訪問微軟企業(yè)的一小部分內(nèi)容。此次黑客攻擊導致美國大約25個政府組織的電子郵件數(shù)據(jù)以及眾多知名企業(yè)的數(shù)據(jù)被盜，CISA網(wǎng)絡安全審查委員會(CSRB)事后的調(diào)查一直沒有給出結(jié)論。

本次微軟公司遭滲透事件始于2023年11月，當時相關(guān)黑客使用口令噴射攻擊獲得了微軟所描述的“遺留非生產(chǎn)測試租戶帳戶”的訪問權(quán)限，這是一種破壞計算系統(tǒng)的基本方法，簡單的安全衛(wèi)生通?？梢苑乐惯@種方法的發(fā)生。

然后，攻擊利用該訪問權(quán)限進入其他公司系統(tǒng)，包括屬于高級管理人員的電子郵件。安全專家表示，攻擊者如何設(shè)法從測試系統(tǒng)轉(zhuǎn)移到微軟公司系統(tǒng)中本應受到高度保護的部分（包括源代碼和高管電子郵件），這是一個令人擔憂且令人費解的事態(tài)發(fā)展。

根據(jù)微軟關(guān)于此次泄露的最新聲明，該公司似乎正在進行一場持續(xù)不斷的戰(zhàn)斗，要么將黑客踢出他們的系統(tǒng)，要么阻止他們再次入侵公司?！拔缫贡┭┱谶M行的攻擊的特點是威脅行為者持續(xù)、大量地投入資源、協(xié)調(diào)和重點。它可能會利用所獲得的信息來積累攻擊區(qū)域的圖片并增強其攻擊能力，”該公司的博客文章稱。

目前尚不清楚攻擊者訪問了哪些源代碼，但微軟表示，它不相信“面向客戶的系統(tǒng)已受到損害”。

然而，該公司擔心“午夜暴雪正試圖使用其發(fā)現(xiàn)的不同類型的秘密”，包括在客戶和微軟之間的電子郵件中。該公司在其博客文章中表示：“當我們在被竊取的電子郵件中發(fā)現(xiàn)這些內(nèi)容時，我們已經(jīng)并且正在與這些客戶聯(lián)系，以幫助他們采取緩解措施?！?nbsp;

該公司將這一事件描述為“更廣泛地說，前所未有的全球威脅格局，特別是在復雜的民族國家攻擊方面”的一個例子。作為回應，該公司表示正在增加用于保護其系統(tǒng)的資源和關(guān)注。

源代碼盜竊可能會導致一系列零日漏洞利用，這在SolarWinds事件中已完美的得以證明。對于先進的國家支持的網(wǎng)絡攻擊組織來說，訪問企業(yè)的源代碼就像找到其數(shù)字王國的萬能鑰匙，為尋找新的零日漏洞開辟了途徑。微軟遭到的入侵滲透，顯然比最初想象和看到的要嚴重得多，這凸顯了數(shù)字時代源代碼安全的重要性。