繼微軟後 慧與科技也遭俄羅斯國家駭客入侵

Photo Credit: Shutterstock

最近入侵微軟(Microsoft)的俄羅斯駭客也成功滲透了另一家大型IT公司:慧與科技(Hewlett Packard Enterprise-HPE) 。根據CNNBleeping ComputerThe Washington Post等多家國外媒體的報導,HPE在一份提交美國證券交易委員會(SEC)備案文件中披露,俄羅斯國家駭客已經在長達七個多月的時間裡進入了其企業電子郵件收件匣。這家矽谷巨頭通知投資者,來自俄羅斯聯邦對外情報局(Russian Foreign Intelligence Service)的駭客於 2023 年 5 月首次滲透了基於雲端的電子郵件服務。HPE表示,直到 12 月 12 日,該公司才收到通知後發現了入侵行為。監管文件稱,這些駭客“據信”是Midnight Blizzard,也稱為APT29、Nobelium 和 CozyBear。

微軟幾天前才透露,同樣的駭客已經入侵了其公司高階領導層的收件匣。2021 年,駭客在 SolarWinds 開發的 IT 基礎設施軟體中插入後門後,白宮將威脅行為者與莫斯科聯繫起來。

HPE表示,在這起最新事件中,駭客入侵了屬於我們資安部、進入市場策略部(go-to-market)、商用部等單位的電子郵件,郵件遭到非法存取及下載。

監管文件稱,電子郵件駭客攻擊可能與該公司在 2023 年 6 月了解到的同一駭客組織的早期活動有關。該活動涉及 2023 年 5 月未經授權訪問 HPE SharePoint 伺服器以及“洩露有限數量的文件” 」。

威脅情報公司 Mandiant 於 2022 年 8 月警告稱,俄羅斯駭客組織特別關注 Microsoft 365,這是一套無處不在的生產力和雲端儲存應用程式。APT 29使用 Microsoft 雲端中的虛擬機器來隱藏其痕跡。

根據2021 年 4 月的諮詢報告,聯邦政府早在 2018 年就注意到該組織轉向以雲端資源為目標,“特別是電子郵件”,並減少對惡意軟體的依賴。

一位HPE的公司代表表示,我們的調查得出的結論,出於高度謹慎,符合美國證券交易委員會有關網路事件的新法規的精神,公司就決定披露此次駭客攻擊。美國證券交易委員會去年投票通過了 12 月生效的法規,要求上市公司的大型公司在確定重要性後的四個工作日內披露“重大網路安全事件”。

HPE表示,到目前為止,該事件尚未對其營運產生重大影響,但對其財務狀況的潛在影響仍有待觀察。該公司當天收盤上漲1.68%,但盤後交易中下跌1.02%。 HPE 本月稍早發布了新聞,宣布與網路設備製造商Juniper Networks達成140 億美元的收購協議,並宣稱該交易是讓合併後的公司在新興的人工智慧市場中定位的方式。

美國聯邦調查局(FBI),美國網路安全和基礎設施安全局(CISA),國家情報總監辦公室(ODNI)和國家安全局(NSA)發布聯合聲明,美國政府將SolarWinds的供應鏈攻擊正式歸咎於俄羅斯。

包括FBI,CISA,ODNI和NSA在內,這四個機構都是網路統一協調小組(Cyber Unified Coordination Group)的成員,該小組是由白宮國家安全委員會成立的聯合工作組,負責調查和處理SolarWinds攻擊的後果。今天(1月5日)發表了一份聯合聲明,正式指控俄羅斯政府策劃了SolarWinds供應鏈攻擊。聯合聲明將此次攻擊描述為“起源可能是俄羅斯”和“情報蒐集”。

據國外媒體報導,聯合聲明半證實了上個月《華盛頓郵報》的一份報導,該報導將SolarWinds供應鏈攻擊與歸咎於APT29, APT29是俄羅斯外國情報服務(Russian Foreign Intelligence Service)相關駭客的代號。

網路統一協調小組說:“國家級駭客組織可能來自俄羅斯,是危害政府網路和非政府網路的大部分或全部原因。” 該聲明還正式將SolarWinds背後駭客活動描述為“情報蒐集”。我們正在採取一切必要步驟來了解這項活動的全部範圍,並做出相應的回應。”

UCG在FBI,CISA,ODNI和NSA的聯合聲明中還補充說,在最初的入侵事件發生後, 只有10個美國政府機構受到其他駭客活動的攻擊。

聲明說:“ UCG相信,使用Solar Winds Orion產品的大約18,000名受影響的公共和私營部門客戶中,只很少一部分受到其系統後續活動的損害。”

“到目前為止,我們在少於十個美國政府機構的網路上發現了惡意軟體活動,正在努力識別並通知也可能受到影響的非政府實體。” 並強調網路攻擊活動仍然持續,警告駭客對美國構成的威脅尚未結束,UCG補充說:“這是一個嚴重的入侵,需要持續不懈的補救。”

上個月《華盛頓郵報》報導後不久,俄羅斯官員對報導的發現提出了質疑。今俄羅斯官員尚未正式回應今天的FBI-CISA-ODNI-NSA聯合聲明。

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812