当地时间10月25日微软公司在其博客文章中警告称，攻击IT管理解决方案提应商SolarWinds的与俄罗斯有关联的网络间谍组织仍在发动供应链攻击。这个被微软追踪为Nobelium（其他公司则追踪为APT29和Cozy Bear）的威胁行为者，自2021年5月以来一直在开展持续攻击活动，目标是至少140家组织，其中14家系统已被攻陷。

　　在SolarWinds攻击中，黑客将他们的第一阶段恶意软件发送给了数千个组织，并利用他们对SolarWinds系统的访问权限，侵入了大约100个机构的网络。

　　在最近的攻击中，微软表示，Nobelium的目标是“代表客户定制、部署和管理云服务和其他技术的经销商和其他技术服务提供商”。

　　微软表示：“我们相信，Nobelium最终希望利用分销商可能拥有的任何直接访问客户IT系统的渠道，更容易地冒充一家机构的可信技术合作伙伴，访问其下游客户。”

　　从7月1日到10月19日，微软公司向600多名客户通报了近2.3万起与NOBELIUM相关的攻击。虽然只有少数目标的系统遭到了攻击，但微软想强调的是，在7月1日之前，它只向客户发出了20,500条关于过去三年里观察到的所有国家支持的攻击的警报。

　　微软表示：“最近的活动是另一个迹象，表明俄罗斯正试图获得长期、系统地进入技术供应链的各个点，并建立一种机制，对俄罗斯政府目前或未来感兴趣的目标进行监视。”

　　在本月早些时候发布的一份报告中，微软表示，其观察到的国家支持的网络攻击中，有58%是俄罗斯发起的。

　　周一的警报中指出，最近的Nobelium攻击并没有利用任何软件漏洞，而是利用钓鱼和密码喷洒等技术窃取合法凭证，进入目标系统。

　　微软的企业副总裁汤姆·伯特在接受CyberScoop采访时，回应了两个最为受关切的问题。

　　技术经销商为何成为有趣的或重要的攻击目标？

　　汤姆·伯特称，他们是一个非常有趣的目标，因为他们是另一类供应链参与者，通常在其客户的帐户中拥有升级的特权。这些人追求 SolarWinds 的原因之一是因为他们进行了研究，并且他们明白 SolarWinds Orion 软件，因为它是网络管理和优化软件，在他们合作的客户网络中必然具有很高的特权。这些云服务经销商也是如此。他们通常会在他们的客户网络中拥有一些升级的特权。

　　Nobelium 正在做什么，这个俄罗斯 SVR 集团正在做什么，他们正在寻找可以上线的供应链中的那些环节。请记住，这些人的操作安全性非常好，所以一旦他们进来，他们就喜欢呆在那里躲起来。他们想进入这些经销商网络中的一些，然后他们可以隐藏在那里并从那里控制到他们所瞄准的终端目标。

　　这非常重要，因为它是供应链的不同部分。SolarWinds 专门针对使用其软件的人。从某种意义上说，这是更广泛的，因为他们追求许多不同的公司，例如多个不同的 SolarWinds，但这些公司都是这些经销商，这使Nobelium有可能接触到所有这些经销商的客户。

　　攻击者使用哪些最新的黑客技术？

　　据汤姆·伯特称，本轮攻击有两个阶段。第一阶段是，他们是如何进入经销商网络的？他们所做的主要是密码喷雾。顺便说一句，对于大多数民族国家支持的威胁行为者，包括这些家伙和其他俄罗斯的，大多数耐心的国家级威胁行为者，密码喷雾和暴力密码攻击只是他们的首选。这就是他们所做的，他们一直都在这样做。在这种情况下，他们是否对这些经销商进行了密码喷洒。同样，这就是他们进入SolarWinds网络的方式，这是微软的理解。伯特认为这并没有完全证实他们是如何进入的，但微软认为他们是通过某种密码泄露进入SolarWinds的，这些手法只是标准技术。

　　然而，这里的新东西是他们当时所做的。就像他们为SolarWinds发明了一种新技术——他们将恶意软件放入Orion组件中，因为它是在 SolarWinds 下文中构建的，然后在该更新过程中将其恶意软件带入客户环境中——同样地，他们‘正在使用这些公司在其客户环境中拥有的升级特权。微软相信他们的意图是使用这些升级的特权然后渗透到这些客户环境中，这就是他们进行更具创新性、新颖性的工作的地方。微软的博客中，描述了经销商和他们的客户应该采取的保护自己的步骤。

　　微软还提供了技术指导，帮助组织检测由Nobelium发起的攻击。上个月，微软的博客文章中，详细介绍了该威胁组织使用的一款恶意软件，从被攻击的服务器中窃取数据。Mandiant也一直在监控这些攻击，这家网络安全公司在北美和欧洲发现了下游的受害者。