來自俄羅斯的Nobelium是2020年針對SolarWinds客戶攻擊的幕後主使。這些攻擊似乎是Nobelium針對參與外交政策的政府機構的多個行動的延續,這些行動是情報收集工作的一部分。
Nobelium通過獲得美國國際開發署(USAID)的Constant Contact賬戶發起瞭本周的襲擊。Constant Contact是一種用於電子郵件營銷的服務。在那裡,參與者能夠分發看似真實的釣魚郵件,但其中包含一個鏈接,導尿管點擊該鏈接後就會被插入一個惡意文件,該文件用於分發一個被稱為NativeZone的後門。這種後門可以使各種活動成為可能,從竊取數據到感染網絡上的其他計算機。
不過許多針對我們客戶的攻擊被自動阻止,並且Windows防禦程序正在阻止涉及這次攻擊的惡意軟件。我們還在通知所有被列為目標的客戶。我們發現瞭這次攻擊並通過MSTIC團隊追蹤國傢行為者的持續工作確定瞭受害者。我們沒有理由相信這些攻擊涉及任何針對微軟產品或服務的漏洞。
這些攻擊之所以引人註目有三個原因。
首先,當加上對SolarWinds的攻擊,很明顯,Nobelium的策略之一就是獲得可信賴的技術供應商並感染他們的客戶。通過搭載軟件更新和現在的大規模電子郵件供應商,Nobelium增加瞭間諜行動中附帶損害的可能性並破壞瞭對科技生態系統的信任。
其次,或許並不令人意外的是,Nobelium跟其他類似機構的活動,即往往跟它們所在國傢的關切問題密切相關。這一次,Nobelium瞄準瞭許多人道主義和人權組織。在COVID-19大流行的高峰期,俄羅斯行動者Strontium瞄準瞭參與疫苗的醫療機構。2019年,Strontium瞄準瞭體育和反興奮劑組織。這是網絡攻擊如何成為越來越多的民族國傢實現各種各樣的政治目標的首選工具的又一個例子,Nobelium的這些攻擊主要針對人權和人道主義組織。
第三,民族國傢的網絡攻擊並沒有減緩。我們需要明確的規則來管理民族國傢在網絡空間的行為並對違反這些規則的後果有明確的預期。我們必須繼續團結在《網絡空間信任與安全巴黎呼籲(Paris Call for Trust and Security in Cyberspace)》取得的進展周圍、更廣泛地采納《網絡安全技術協議(Cybersecurity Tech Accord)》和網絡和平研究所(CyberPeace Institute)的建議。但是,我們需要做得更多。微軟將繼續跟有意願的政府和私營部門合作以推動數字和平事業。”
留言列表
