SolarWinds攻擊行動中，約莫有3成受害者並未使用Orion Platform

美國網路安全暨基礎架構安全署（Cybersecurity and Infrastructure Security Agency，CISA）代理主任Brandon Wales在接受華爾街日報專訪時透露，在疑似為俄羅斯駭客針對SolarWinds產品發動的攻擊行動中，有接近3成的受害者並未使用SolarWinds的Orion Platform產品，顯示駭客透過多種管道大舉入侵美國政府機關與企業。

駭客滲透了SolarWinds，於Orion Platform產品中植入了木馬，進而危害採用該平台的組織，雖然全球約有1.8萬個組織採用了被植入木馬的Orion Platform版本，但駭客僅鎖定當中的50家公、私機構展開攻擊。倘若依照Wales的說法，那麼這波攻擊中被駭客鎖定的組織約為70個。

CISA並未公布實際遭到攻擊的組織數量，但根據微軟與FireEye的估計，因採用Orion Platform而被鎖定的攻擊目標約為50家。

Wales說，此一駭客集團非常有創造力，利用了各種方式來入侵目標對象。而許多業者所揭露的攻擊研究也證實了Wales的說法，例如Malwarebytes即發現，該公司安裝在Office 365租戶中的一個休眠的電子郵件保護產品遭到駭客開採，藉以存取該公司的電子郵件；CrowdStrike則說駭客是先滲透微軟Office經銷商的Azure帳號，企圖存取CrowdStrike郵件。

Malwarebytes與CrowdStrike都是在去年的12月15日收到微軟的警告，其中，Malwarebytes的研究顯示，即便駭客所開採、作為入侵跳板的對象不同，卻與入侵SolarWinds系統的駭客集團使用一致的攻擊戰術流程（Tactics、Techniques and Procedures，TTP），相信是同一個駭客集團所為。