微软：参与SolarWinds攻击的工程师超过1000人

微软高层本周表示，根据分析，对SolarWinds发动攻击的骇客组织估计参与人数超过1000名开发人员，堪称是规模最大、最高明的攻击行动。

微软法务长Brad Smith本周参加新闻节目CBS《60分钟》谈及该公司针对SolarWinds攻击调查的发现。另一家安全厂商FireEye首席执行官Kevin Mandia也参与了这次访谈。

去年12月爆发的SolarWinds供应链攻击中，国家支持的攻击者骇入美国软件公司SolarWinds的Orion软件更新机制，借此使高达18,000家使用单位感染后门程式Sunburst。美国联邦调查局（FBI）和网络安全暨基础架构安全署（CISA）认为，这群攻击者可能是由俄罗斯-支持的骇客组织。

由于Orion的用户群广大，美国-单位包括商务部、财政部、能源部、国土安全部、CISA，甚至安全厂商微软、FireEye、MalwareBytes都遭到感染。

Smith指出，从软件厂商角度言之，SolarWinds攻击可能是规模最大、最高明的攻击。微软也动用了500多位工程师来调查。经过微软分析研判，这次攻击涉及的工程师人数应该超过1000人。

但骇客攻击手法相当细腻，在Orion数百万行程式码，仅仅改写了4,032行程式，借此感染SolarWinds的客户。Smith并未说骇客从何而来，但他指出，虽然这是美国第一次遭遇供应链攻击，但暗示，过去俄罗斯也曾对乌克兰发动类似的攻击行动。

FireEye首席执行官Kevin Mandia则说明该公司如何发现被骇。11月间安全部门发现，FireEye一名员工账号被第三方以双因素验证（2FA）登入，这也促使FireEye启动调查，因而发现自己遭到骇入。

Mandia指出，攻击者手法高明，没有留下任何痕迹，没有恶意程式，也没有钓鱼邮件，在钜细靡遗的搜查下，最后才在SolarWinds内发现恶意程式。FireEye调查发现，公司的红队演练工具也被骇客窃取，最后于12月初首先宣布这起震惊业界的骇客行动。

随着调查不断进行，安全界也发现SolarWinds攻击手法之高明，行动之缜密。骇客攻击的管道可能不只有SolarWinds Orion软件，骇客不但部署时间长达近一年，也不只放了一只后门程式，此外也发展出各种高明手法躲避侦测。此外，华尔街日报报导，大约有30%被骇的企业并未使用SolarWinds。