情境示意圖,Original Photo by JESHOOTS.COM on Unsplash

美國網路安全暨基礎架構安全署(Cybersecurity and Infrastructure Security Agency,CISA)代理主任Brandon Wales在接受華爾街日報專訪時透露,在疑似為俄羅斯駭客針對SolarWinds產品發動的攻擊行動中,有接近3成的受害者並未使用SolarWinds的Orion Platform產品,顯示駭客透過多種管道大舉入侵美國政府機關與企業。

駭客滲透了SolarWinds,於Orion Platform產品中植入了木馬,進而危害採用該平台的組織,雖然全球約有1.8萬個組織採用了被植入木馬的Orion Platform版本,但駭客僅鎖定當中的50家公、私機構展開攻擊。倘若依照Wales的說法,那麼這波攻擊中被駭客鎖定的組織約為70個。

CISA並未公布實際遭到攻擊的組織數量,但根據微軟與FireEye的估計,因採用Orion Platform而被鎖定的攻擊目標約為50家。

Wales說,此一駭客集團非常有創造力,利用了各種方式來入侵目標對象。而許多業者所揭露的攻擊研究也證實了Wales的說法,例如Malwarebytes即發現,該公司安裝在Office 365租戶中的一個休眠的電子郵件保護產品遭到駭客開採,藉以存取該公司的電子郵件;CrowdStrike則說駭客是先滲透微軟Office經銷商的Azure帳號,企圖存取CrowdStrike郵件。

Malwarebytes與CrowdStrike都是在去年的12月15日收到微軟的警告,其中,Malwarebytes的研究顯示,即便駭客所開採、作為入侵跳板的對象不同,卻與入侵SolarWinds系統的駭客集團使用一致的攻擊戰術流程(Tactics、Techniques and Procedures,TTP),相信是同一個駭客集團所為。


熱門新聞

Advertisement