微軟調查發現逾40家客戶因採用SolarWinds產品，淪為駭客供應鏈攻擊目標

由國家支持的駭客集團在今年3月到6月間，危害了SolarWinds旗下IT管理平臺Orion Platform的構建系統，在此一期間發布的Orion Platform都被植入了Sunburst木馬程式，影響全球接近1.8萬家Orion Platform用戶，駭客則針對特定目標展開攻擊，從資安業者FireEye到美國的財政部、商務部、國務院、國土安全部與國家衛生院等，而微軟則在17日表示，該公司的客戶中，有超過40家遭到駭客鎖定。

精確地說，此一駭客行動在近1.8萬個組織的Orion Platform平臺上植入了後門，這些組織只是潛在的受害者，駭客再藉由此一後門針對目標對象展開進一步的攻擊，目前尚未完全釐清遭到駭客鎖定的目標數量。例如微軟也坦承在自家的環境中偵測到惡意的SolarWinds二進位程式，已將它移除與隔離，但並未發現駭客存取其生產服務或客戶資料。

從FireEye自12月8日揭露該攻擊行動的這9天以來，包括微軟在內的資安業者皆致力於分析這起攻擊的脈絡、危害規模，以及攻擊來源，亦已與FireEye及GoDaddy聯手，建置Sunburst木馬程式的銷毀開關（kill switch），本周微軟公布了更多的資訊，針對同時採用Microsoft Defender與SolarWinds Orion的微軟客戶，列出了全球的潛在受害者地圖，地圖上除了俄羅斯之外，潛在受害者幾乎遍布全球，從北美、歐洲，一直到亞洲的印度、中國、臺灣與日本。

微軟也披露在這些微軟客戶中，有超過40家成為駭客的目標攻擊對象，它們約有8成位於美國，其它的受害者則分布在加拿大、墨西哥、比利時、西班牙、英國、以色列及阿拉伯聯合大公國；若從領域來看，有44%的受害者為科技業者，包括軟體業者、IT服務業者與設備供應商，有18%為政府組織、18%為智庫或非政府組織，還有9%為政府承包商，而且主要是承攬國防與國家安全的業者。

FireEye：我們正在目睹一場擁有一流攻擊能力的國家所發動的襲擊

FireEye執行長Kevin Mandia在揭露被駭細節時曾說，根據他在資安領域25年的經驗，他們正在目睹一場擁有一流攻擊能力的國家所發動的襲擊，這場攻擊與他們過去幾年所處理的數萬種資安意外都不同，這群駭客在操作安全上受過嚴格的培訓，不只有明確的目標，也非常有紀律地執行行動。駭客的行動非常謹慎，採用了可對抗安全工具與鑑識檢查的手法，亦利用了過去從未見過的新穎技術組合。

微軟則說，此一行動襲擊了美國政府的機密資訊，以及用來保護各大組織的科技工具，是個廣泛且成功的攻擊，此外，雖然各國政府之間長期以來不斷互相監視，但這波開採供應鏈的攻擊行動亦蔓延到更廣泛的經濟實體。就算是在數位時代，這也不是個尋常的間諜行動，它是個替美國與全球建立一個嚴重技術漏洞的魯莽行動。

因為它攻擊的不是特定目標，而是攻擊了全球重要基礎設施的可靠性，目的只是為了發展一個國家的情報機構。

另一方面，雖然俄羅斯已公開否認主導此一攻擊行動，但俄羅斯駭客集團持續遭到點名。

微軟指出，矽谷已不再是全球先進軟體開發者唯一的據點，俄羅斯工程師在2016年就找到密碼保護與社交軟體平臺的缺陷，並藉此發動攻擊以破壞美國與法國的大選活動，而相關的技術讓全球超過70個國家淪為受害者，這次的攻擊同樣具有獨創性，他們找到了網路安全防護網的缺陷並進行開採。

儘管暗示攻擊者為俄羅斯政府所支持的駭客集團，但迄今尚未有業者斷言，而微軟則宣布未來幾周，將可提供更多有關攻擊來源的確切證據。

幸好全球只有少數國家有能力投資可進行此類先進攻擊的人才。根據微軟今年9月出版的《數位防禦報告》（Microsoft Digital Defense Report），該報告列出了14個國家級駭客集團，有3個來自伊朗，5個來自中國，3個來自俄羅斯，2個來自北韓，以及1個來自南韓。

國家級攻擊承包商的崛起

不過，微軟也警告，近來相繼有業者投入國家級攻擊行動的承包業務，彷彿是21世紀的傭兵。例如以色列的NSO Group。NSO Group專門銷售攻擊/間諜工具予各國政府，最知名的Pegasus只要透過WhatsApp撥打電話就能安裝在目標對象的裝置上，而且對方甚至不必接聽。根據WhatsApp的統計，約有1,400支行動裝置已因此而被滲透。

微軟估計此一新興的技術市場規模約為120億美元，而且已聽聞有其它業者準備搶進。此一趨勢可望成為各國企圖展開攻擊的另一個選擇，不僅能助長原本就擁有先進攻擊能力的國家，也能協助缺乏人才的國家展開攻擊。

全球聯手才能對抗網路攻擊行動

微軟呼籲，在一個專制國家針對民主國家發起網路攻擊的世界中，民主國家更應該團結以共同對抗威脅，包括分享資訊與最佳實作，並協調彼此之間的資安保護、防禦措施與回應。

此外，由於從資料中心到光纖網路等科技基礎設施多是由企業所持有及經營，而它們經常也是率先發現網路攻擊的守門人，因此，有效的防禦應該不只是全球民主國家的結盟，也包括全球主要科技業者的結盟。

微軟也建議應強化國際規則來制裁這些國家級的攻擊行動，要求這些國家替網路攻擊行動負責，同時制定境內法規以抑制網路攻擊生態的崛起。

目前全球已有超過145家科技業者簽署了於2018年發起的網路安全科技協議（Cybersecurity Tech Accord），該協議的主要內容是保護客戶以協助它們捍衛惡意威脅，也會基於防堵特定威脅而互相交流與合作，同時承諾不會協助政府針對無辜民眾與企業發動網路攻擊。