微軟：參與SolarWinds攻擊的工程師超過1000人

微軟高層本周表示，根據分析，對SolarWinds發動攻擊的駭客組織估計參與人數超過1000名開發人員，堪稱是規模最大、最高明的攻擊行動。

微軟法務長Brad Smith本周參加新聞節目CBS《60分鐘》談及該公司針對SolarWinds攻擊調查的發現。另一家安全廠商FireEye執行長Kevin Mandia也參與了這次訪談。

去年12月爆發的SolarWinds供應鏈攻擊中，國家支持的攻擊者駭入美國軟體公司SolarWinds的Orion軟體更新機制，藉此使高達18,000家使用單位感染後門程式Sunburst。美國聯邦調查局（FBI）和網路安全暨基礎架構安全署（CISA）認為，這群攻擊者可能是由俄羅斯政府支持的駭客組織。

由於Orion的用戶群廣大，美國政府單位包括商務部、財政部、能源部、國土安全部、CISA，甚至安全廠商微軟、FireEye、MalwareBytes都遭到感染。

Smith指出，從軟體廠商角度言之，SolarWinds攻擊可能是規模最大、最高明的攻擊。微軟也動用了500多位工程師來調查。經過微軟分析研判，這次攻擊涉及的工程師人數應該超過1000人。

但駭客攻擊手法相當細膩，在Orion數百萬行程式碼，僅僅改寫了4,032行程式，藉此感染SolarWinds的客戶。Smith並未說駭客從何而來，但他指出，雖然這是美國第一次遭遇供應鏈攻擊，但暗示，過去俄羅斯也曾對烏克蘭發動類似的攻擊行動。

FireEye執行長Kevin Mandia則說明該公司如何發現被駭。11月間安全部門發現，FireEye一名員工帳號被第三方以雙因素驗證（2FA）登入，這也促使FireEye啟動調查，因而發現自己遭到駭入。

Mandia指出，攻擊者手法高明，沒有留下任何痕跡，沒有惡意程式，也沒有釣魚郵件，在鉅細靡遺的搜查下，最後才在SolarWinds內發現惡意程式。FireEye調查發現，公司的紅隊演練工具也被駭客竊取，最後於12月初首先宣布這起震驚業界的駭客行動。

隨著調查不斷進行，安全界也發現SolarWinds攻擊手法之高明，行動之縝密。駭客攻擊的管道可能不只有SolarWinds Orion軟體，駭客不但部署時間長達近一年，也不只放了一隻後門程式，此外也發展出各種高明手法躲避偵測。此外，華爾街日報報導，大約有30%被駭的企業並未使用SolarWinds。