SolarWinds攻击行动中，约莫有3成受害者并未使用Orion Platform

美国网络安全暨基础架构安全署（Cybersecurity and Infrastructure Security Agency，CISA）代理主任Brandon Wales在接受华尔街日报专访时透露，在疑似为俄罗斯骇客针对SolarWinds产品发动的攻击行动中，有接近3成的受害者并未使用SolarWinds的Orion Platform产品，显示骇客透过多种管道大举入侵美国-机关与企业。

骇客渗透了SolarWinds，于Orion Platform产品中植入了木马，进而危害采用该平台的组织，虽然全球约有1.8万个组织采用了被植入木马的Orion Platform版本，但骇客仅锁定当中的50家公、私机构展开攻击。倘若依照Wales的说法，那么这波攻击中被骇客锁定的组织约为70个。

CISA并未公布实际遭到攻击的组织数量，但根据微软与FireEye的估计，因采用Orion Platform而被锁定的攻击目标约为50家。

Wales说，此一骇客集团非常有创造力，利用了各种方式来入侵目标对象。而许多业者所揭露的攻击研究也证实了Wales的说法，例如Malwarebytes即发现，该公司安装在Office 365租户中的一个休眠的电子邮件保护产品遭到骇客开采，藉以存取该公司的电子邮件；CrowdStrike则说骇客是先渗透微软Office经销商的Azure账号，企图存取CrowdStrike邮件。

Malwarebytes与CrowdStrike都是在去年的12月15日收到微软的警告，其中，Malwarebytes的研究显示，即便骇客所开采、作为入侵跳板的对象不同，却与入侵SolarWinds系统的骇客集团使用一致的攻击战术流程（Tactics、Techniques and Procedures，TTP），相信是同一个骇客集团所为。