微软否认Microsoft 365被黑客攻破 攻击者通过恶意软件渗透美国商务部
早前美国商务部和美国财政部下属部门遭恶意软件袭击,据悉攻击者已经潜伏数月并监听部门内部的电邮沟通等。
在初始报道中路透社表示美国商务部和财政部均使用 Microsoft 365,攻击者似乎通过某种手动攻破微软的验证。
这对微软来说是无法接受的,该公司自认为Microsoft 365 政企服务固若金汤不太可能毫无预兆的遭到黑客渗透。
事实上也确实如此,经过初步调查发现真正成为黑客跳板的是美国太阳风公司提供的企业级系统和信息管理软件。
美国部分政府机构使用太阳风公司提供的产品,黑客事先通过渗透到太阳风公司内网然后完成此次针对性的攻击。
经调查在2020年3~6月太阳风公司更新201.9.4版到202.2.1版,这些版本全部包含名为 SUNBURST 的恶意软件。
该恶意软件安装到计算机后会睡眠12~14天 , 之后开始唤醒并联系C&C服务器域名 , 该域名又会返回另一个域名。
而恶意软件真正联系的其实是返回的另一个域名,从这个域名里获得指令和荷载,然后根据指令进行监听等任务。
因此这并非国家级黑客成功攻破Microsoft 365 服务,实际上微软表示该公司身份验证系统并没有遭到任何破坏。
这种攻击类型被称为供应链攻击,从上级供应链系统携带恶意软件至目标,之前 CCleaner 事件就是供应链攻击。
尽管此次调查尚未获得法院授权,不过微软通过其科技联盟合作伙伴已经将攻击者使用的核心服务器和域名扣押。
因为按照域名和服务器提供商的使用协议,用户不得租用购买服务器及域名用于网络攻击等违反当地法律的行为。
在出现违规行为后提供商有权对服务器和域名进行处理,所以这家提供商选择将相关基础设施交给微软进行调查。
相关人士表示这属于保护性工作,目的是防止这个国家级黑客继续使用这些服务器和域名向受害者实施监听行为。
不过就目前来说微软尚未发布进一步的调查报告,不过现在美国各级政府部门都在排查,确保没有感染恶意软件。