微软应急响应不力？被黑后内网进一步失陷

微软表示，俄罗斯支持黑客在1月入侵公司网络以后，已扩大了入侵范围并对客户发起进一步攻击，成功侵入了微软的源代码和内部系统。

这起入侵事件的实施者是名为“午夜暴雪”的黑客组织，该组织通常被认为是俄罗斯联邦安全局的附属组织。该组织还有多个代号，包括APT29、Cozy Bear、CozyDuke、The Dukes、Dark Halo和Nobelium。

在1月事件初次披露时，微软表示，“午夜暴雪”首先利用了接入公司网络的一台测试设备的弱密码，经过数月尝试成功进入了高管的电子邮件帐号。没有迹象表明任何源代码或生产系统遭到破坏。

通过电子邮件发送的机密信息

在3月8日发布的更新公告中，微软称他们发现了证据，表明“午夜暴雪”利用最初获得的信息进一步渗透了公司网络，并成功攻破了源代码和内部系统。他们已经开始使用这些专有信息对微软及其客户发起后续攻击。

更新公告称，“最近几周，我们发现‘午夜暴雪’一直在利用最初从微软企业电子邮件系统泄露的信息，来获取或尝试获取未经授权的访问权限。其中包括对一些公司源代码存储库和内部系统的访问权限。截至目前，尚未发现任何由微软托管的面向客户的系统受到破坏。”

微软在1月的披露中表示，“午夜暴雪”使用了密码喷洒攻击技术，来入侵公司网络上的“遗留的非生产测试租户帐号”。这些细节说明该帐号被废弃后并没有被移除，这违背了“废弃即移除”这一对网络安全至关重要的操作原则。此外，这些细节还显示，用于登录该帐号的密码非常弱，易受密码喷洒攻击。所谓密码喷洒，就是发送一系列从先前入侵行动中获取的凭据来猜测密码。

更新公告显示，在接下来的几个月里，“午夜暴雪”一直在利用早期获得的信息发动进一步攻击，本就很高的密码喷洒成功率得到进一步提升。

前所未有的全球性威胁

微软官方称：

显然，“午夜暴雪”正尝试利用其发现的不同类型的机密信息，其中一些信息是通过电子邮件在客户和微软之间共享的。我们在被泄电子邮件中发现了这些机密信息，便一直在联系相关客户，协助他们采取缓解措施。2024年1月，“午夜暴雪”已经发动了相当多的攻击。到了2月，该组织某些类型的攻击数量（比如密码喷洒）增加了多达10倍。

“午夜暴雪”正在发动持续攻击。这一威胁行为者正以极高的协调能力和专注度持续投入大量资源。他们可能正在利用获取的信息绘制目标区域的全景，并提升这方面的能力。这反映了前所未有的全球性威胁景观，特别是在复杂的国家级攻击方面。

这次攻击始于2023年11月，直到今年1月才被发现。微软当时表示，通过此次入侵，“午夜暴雪”得以监视高管和安全人员的电子邮件帐号。因此，该组织非常有可能在长达三个月的时间内持续读取敏感通信。微软表示，“午夜暴雪”发动攻击的一个动机是评估微软对威胁组织的了解程度。微软在上周五再次重申了当初的看法，没有证据表明黑客已经访问了面向客户的系统。

“午夜暴雪”是最活跃的高级持续威胁（APT）组织之一。APT指由国家支持的技术娴熟、资金雄厚的黑客组织。“午夜暴雪”是太阳风（SolarWinds）供应链攻击的幕后黑手，该攻击导致美国能源、商务、财政和国土安全部以及约100家私营部门公司被黑。

上周，英国国家网络安全中心（NCSC）和国际合作伙伴警告称，近几个月来，“午夜暴雪”组织已经扩大了活动范围，将针对航空、教育、执法、地方和州议会、政府财政部门和军事组织发起攻击。