微软调查发现逾40家客户因采用SolarWinds产品，沦为骇客供应链攻击目标

由国家支持的骇客集团在今年3月到6月间，危害了SolarWinds旗下IT管理平台Orion Platform的构建系统，在此一期间发布的Orion Platform都被植入了Sunburst木马程式，影响全球接近1.8万家Orion Platform用户，骇客则针对特定目标展开攻击，从资安业者FireEye到美国的财政部、商务部、国务院、国土安全部与国家卫生院等，而微软则在17日表示，该公司的客户中，有超过40家遭到骇客锁定。

精确地说，此一骇客行动在近1.8万个组织的Orion Platform平台上植入了后门，这些组织只是潜在的受害者，骇客再借由此一后门针对目标对象展开进一步的攻击，目前尚未完全厘清遭到骇客锁定的目标数量。例如微软也坦承在自家的环境中侦测到恶意的SolarWinds二进制程式，已将它移除与隔离，但并未发现骇客存取其生产服务或客户资料。

从FireEye自12月8日揭露该攻击行动的这9天以来，包括微软在内的资安业者皆致力于分析这起攻击的脉络、危害规模，以及攻击来源，亦已与FireEye及GoDaddy联手，建置Sunburst木马程式的销毁开关（kill switch），本周微软公布了更多的资讯，针对同时采用Microsoft Defender与SolarWinds Orion的微软客户，列出了全球的潜在受害者地图，地图上除了俄罗斯之外，潜在受害者几乎遍布全球，从北美、欧洲，一直到亚洲的印度、中国、台湾与日本。

微软也披露在这些微软客户中，有超过40家成为骇客的目标攻击对象，它们约有8成位于美国，其它的受害者则分布在加拿大、墨西哥、比利时、西班牙、英国、以色列及阿拉伯联合酋长国；若从领域来看，有44%的受害者为科技业者，包括软件业者、IT服务业者与设备供应商，有18%为-组织、18%为智库或非-组织，还有9%为-承包商，而且主要是承揽国防与国家安全的业者。

FireEye：我们正在目睹一场拥有一流攻击能力的国家所发动的袭击

FireEye首席执行官Kevin Mandia在揭露被骇细节时曾说，根据他在资安领域25年的经验，他们正在目睹一场拥有一流攻击能力的国家所发动的袭击，这场攻击与他们过去几年所处理的数万种资安意外都不同，这群骇客在操作安全上受过严格的培训，不只有明确的目标，也非常有纪律地执行行动。骇客的行动非常谨慎，采用了可对抗安全工具与鉴识检查的手法，亦利用了过去从未见过的新颖技术组合。

微软则说，此一行动袭击了美国-的机密资讯，以及用来保护各大组织的科技工具，是个广泛且成功的攻击，此外，虽然各国-之间长期以来不断互相监视，但这波开采供应链的攻击行动亦蔓延到更广泛的经济实体。就算是在数位时代，这也不是个寻常的间谍行动，它是个替美国与全球建立一个严重技术漏洞的鲁莽行动。

因为它攻击的不是特定目标，而是攻击了全球重要基础设施的可靠性，目的只是为了发展一个国家的情报机构。

另一方面，虽然俄罗斯已公开否认主导此一攻击行动，但俄罗斯骇客集团持续遭到点名。

微软指出，硅谷已不再是全球先进软件开发者唯一的据点，俄罗斯工程师在2016年就找到密码保护与社交软件平台的缺陷，并借此发动攻击以破坏美国与法国的大选活动，而相关的技术让全球超过70个国家沦为受害者，这次的攻击同样具有独创性，他们找到了网络安全防护网的缺陷并进行开采。

尽管暗示攻击者为俄罗斯-所支持的骇客集团，但迄今尚未有业者断言，而微软则宣布未来几周，将可提供更多有关攻击来源的确切证据。

幸好全球只有少数国家有能力投资可进行此类先进攻击的人才。根据微软今年9月出版的《数位防御报告》（Microsoft Digital Defense Report），该报告列出了14个国家级骇客集团，有3个来自伊朗，5个来自中国，3个来自俄罗斯，2个来自北朝鲜，以及1个来自韩国。

国家级攻击承包商的崛起

不过，微软也警告，近来相继有业者投入国家级攻击行动的承包业务，仿佛是21世纪的佣兵。例如以色列的NSO Group。NSO Group专门销售攻击/间谍工具予各国-，最知名的Pegasus只要透过WhatsApp拨打电话就能安装在目标对象的装置上，而且对方甚至不必接听。根据WhatsApp的统计，约有1,400支行动装置已因此而被渗透。

微软估计此一新兴的技术市场规模约为120亿美元，而且已听闻有其它业者准备抢进。此一趋势可望成为各国企图展开攻击的另一个选择，不仅能助长原本就拥有先进攻击能力的国家，也能协助缺乏人才的国家展开攻击。

全球联手才能对抗网络攻击行动

微软呼吁，在一个专制国家针对民主国家发起网络攻击的世界中，民主国家更应该团结以共同对抗威胁，包括分享资讯与最佳实作，并协调彼此之间的资安保护、防御措施与回应。

此外，由于从资料中心到光纤网络等科技基础设施多是由企业所持有及经营，而它们经常也是率先发现网络攻击的守门人，因此，有效的防御应该不只是全球民主国家的结盟，也包括全球主要科技业者的结盟。

微软也建议应强化国际规则来制裁这些国家级的攻击行动，要求这些国家替网络攻击行动负责，同时制定境内法规以抑制网络攻击生态的崛起。

目前全球已有超过145家科技业者签署了于2018年发起的网络安全科技协议（Cybersecurity Tech Accord），该协议的主要内容是保护客户以协助它们捍卫恶意威胁，也会基于防堵特定威胁而互相交流与合作，同时承诺不会协助-针对无辜民众与企业发动网络攻击。