微軟承認與FireEye及美國政府機關同遭SolarWinds供應鏈駭入系統 聲明產品安全無虞
微軟昨(17)日承認,上周駭入FireEye和美國政府多家機關的駭客,也駭入了公司網路。但微軟否認微軟產品被植入相同的惡意程式。
上星期資安公司調查到,俄羅斯政府資助的駭客組織駭入美國政府普遍使用的網路管理軟體公司SolarWinds的軟體產品Orion,利用其自動更新機制,將後門程式傳給了客戶。遭植入的惡意軟體,微軟命名為Solargate,FireEye稱之為Sunburst,它是一隻後門程式,成功進入了客戶網路中,包括美國商務部、財政部,以及國土安全部。
今天路透社引述消息人士報導,微軟不但被駭,而且駭客還修改了微軟軟體,會將惡意檔案送給客戶。
微軟對媒體證實,的確在其環境中偵測到SolarWinds的惡意程式,但否認他們的系統被用來攻擊客戶。微軟說,在經過檢查入侵指標後,的確偵測到Solar Winds的二進位檔,已經隔離並刪除,但並沒有發現到公司營運服務或客戶資料遭到存取,也未發現公司系統用於攻擊他人。
微軟是最早偵測到這波攻擊的公司,不過當時的受害者是防毒軟體公司FireEye。隨後FireEye和微軟追查出,駭客攻擊管道是利用感染外界鮮少得知的SolarWinds軟體,透過供應鏈攻擊(supply chain attack)向外散佈。
美國網路及基礎架構安全署(CISA)則公告,嫌犯是俄羅斯政府資助的駭客組織,名為Cozy Bear或APT 29。
SolarWinds向美國證管會報告指,有1.8萬家客戶因此中標。微軟調查指出,有40多家公司遭到重點攻擊,其中80%位於美國,其他20%則位於加拿大墨西哥,比利時,西班牙,英國,以色列和阿拉伯聯合大公國。
在產業別方面,政府佔了18%,44%為資訊科技公司,其次是智庫、國防及國安機構的政府外包商,其他還包括金融,健康照護,電信業等。