微軟表示,去年SolarWinds黑客事件背後由俄羅斯支持的Nobelium威脅集團仍在瞄準全球IT供應鏈,自2021年5月以來,有140家管理服務提供商(MSP)和雲服務提供商受到攻擊,至少有14家被攻破。
這次活動與Nobelium的傳統做法相同,即通過攻破服務提供商來破壞一個重要的目標名單。就像以前的攻擊一樣,俄羅斯國家黑客使用了一個多樣化和不斷變化的工具包,包括一長串工具和戰術,從惡意軟件、密碼噴劑、令牌盜竊到API濫用和魚叉式網絡釣魚。這些新攻擊的主要目標是為其客戶部署和管理雲服務和類似技術的經銷商和技術服務提供商。
微軟在發現這些攻擊后通知了受影響的目標,還在威脅保護產品中增加了檢測功能,使這些目標在未來能夠發現入侵企圖。自7月以來,超過600名微軟客戶成為目標。微軟表示,自5月以來,它已經通知了140多個被Nobelium攻擊的經銷商和技術服務提供商。
微軟將繼續調查,但到目前為止,微軟認為這些經銷商和服務提供商中多達14家已經受到影響,但是總共有600多個微軟客戶被攻擊了數千次,儘管在7月至10月期間攻擊成功率很低。但是,這表明,Nobelium仍在試圖發動類似於他們在攻破SolarWinds系統后發動的攻擊,以獲得對相關目標系統的長期訪問,並建立間諜和滲透渠道。
Nobelium是俄羅斯對外情報局(SVR)的黑客部門,也被稱為APT29、Cozy Bear和The Dukes。2021年4月,美國政府正式指責SVR部門協調了針對SolarWinds 廣泛的網絡間諜活動,導致多個美國政府機構被入侵。