微軟法務長Brad Smith指出,SolarWinds遭駭事件可能是史上規模最大、最高明的網路攻擊。微軟也動用了5百多位工程師來調查,研判這次攻擊涉及的工程師人數超過1千人,圖為今年1月SolarWinds官方發布駭客對Orion Platform發動攻擊的事件圖。(圖片來源/CrowdStrike)

微軟高層本周表示,根據分析,對SolarWinds發動攻擊的駭客組織估計參與人數超過1000名開發人員,堪稱是規模最大、最高明的攻擊行動。

微軟法務長Brad Smith本周參加新聞節目CBS《60分鐘》談及該公司針對SolarWinds攻擊調查的發現。另一家安全廠商FireEye執行長Kevin Mandia也參與了這次訪談。

去年12月爆發的SolarWinds供應鏈攻擊中,國家支持的攻擊者駭入美國軟體公司SolarWinds的Orion軟體更新機制,藉此使高達18,000家使用單位感染後門程式Sunburst。美國聯邦調查局(FBI)和網路安全暨基礎架構安全署(CISA)認為,這群攻擊者可能是由俄羅斯政府支持的駭客組織。

由於Orion的用戶群廣大,美國政府單位包括商務部、財政部、能源部、國土安全部、CISA,甚至安全廠商微軟、FireEye、MalwareBytes都遭到感染。

Smith指出,從軟體廠商角度言之,SolarWinds攻擊可能是規模最大、最高明的攻擊。微軟也動用了500多位工程師來調查。經過微軟分析研判,這次攻擊涉及的工程師人數應該超過1000人。

但駭客攻擊手法相當細膩,在Orion數百萬行程式碼,僅僅改寫了4,032行程式,藉此感染SolarWinds的客戶。Smith並未說駭客從何而來,但他指出,雖然這是美國第一次遭遇供應鏈攻擊,但暗示,過去俄羅斯也曾對烏克蘭發動類似的攻擊行動。

FireEye執行長Kevin Mandia則說明該公司如何發現被駭。11月間安全部門發現,FireEye一名員工帳號被第三方以雙因素驗證(2FA)登入,這也促使FireEye啟動調查,因而發現自己遭到駭入。

Mandia指出,攻擊者手法高明,沒有留下任何痕跡,沒有惡意程式,也沒有釣魚郵件,在鉅細靡遺的搜查下,最後才在SolarWinds內發現惡意程式。FireEye調查發現,公司的紅隊演練工具也被駭客竊取,最後於12月初首先宣布這起震驚業界的駭客行動

隨著調查不斷進行,安全界也發現SolarWinds攻擊手法之高明,行動之縝密。駭客攻擊的管道可能不只有SolarWinds Orion軟體,駭客不但部署時間長達近一年,也不只放了一隻後門程式,此外也發展出各種高明手法躲避偵測。此外,華爾街日報報導,大約有30%被駭的企業並未使用SolarWinds。


熱門新聞

Advertisement