今天,我们将分享我们从俄罗斯民族国家行为体Nobelium观察到的最新活动。这是针对SolarWinds客户的网络攻击背后的同一个行为体,美国政府和其他方面已经确定它是俄罗斯外国情报机构(称为SVR)的一部分。
Nobelium一直试图复制它在过去的攻击中所使用的方法,将目标对准全球IT供应链中不可或缺的组织。这一次,它攻击的是供应链的另一部分:代表客户定制、部署和管理云服务及其他技术的经销商和其他技术服务提供商。我们相信Nobelium最终希望利用经销商可能对其客户的IT系统的任何直接访问,并更容易地冒充一个组织的可信赖的技术合作伙伴,以获得对其下游客户的访问。我们在2021年5月开始观察这一最新活动,并一直在通知受影响的合作伙伴和客户,同时也为经销商社区开发新的技术援助和指导。自5月以来,我们已经通知了140多个被Nobelium盯上的转售商和技术服务提供商。我们继续调查,但到目前为止,我们认为其中多达14家经销商和服务提供商已经被入侵。幸运的是,我们在这个活动的早期阶段就发现了它,我们分享这些进展,以帮助云服务转售商、技术提供商及其客户及时采取措施,帮助确保Nobelium不会更加成功。
这些攻击是今年夏天更大的Nobelium活动浪潮的一部分。事实上,在今年7月1日至10月19日期间,我们通知609位客户,他们已经被Nobelium攻击了22868次,成功率低至个位数。相比之下,在2021年7月1日之前,我们在过去三年中通知客户来自所有民族国家行为者的攻击20,500次。
最近的这一活动是另一个指标,表明俄罗斯正试图长期、系统地获得技术供应链中的各种基点,并建立一个机制来监视–无论现在还是将来–俄罗斯政府感兴趣的目标。虽然我们在此分享诺贝丽姆最近活动的细节,但本月早些时候发布的《微软数字防御报告》强调了其他民族国家行为者和网络犯罪分子的持续攻击。为了配合这些攻击,我们正在通知我们的客户,当他们成为这些行为者的目标或受到攻击时。
在最近针对转售商和服务提供商的活动中,我们观察到的攻击并没有试图利用软件中的任何缺陷或漏洞,而是使用了众所周知的技术,如密码喷涂和网络钓鱼,以窃取合法凭证并获得特权访问。我们已经对这些早在今年5月就开始的新攻击有了足够的了解,我们现在可以提供可操作的信息,可以用来抵御这种新方法。
我们也一直在与安全领域的其他人协调,以提高我们对诺贝丽姆活动的了解和保护,我们也一直在与美国和欧洲的政府机构密切合作。虽然我们清楚地认识到,包括俄罗斯在内的民族国家不会在一夜之间停止这样的攻击,但我们相信,像美国的网络安全行政命令这样的措施,以及我们在过去两年中看到的行业和政府之间更大的协调和信息共享,使我们都处于一个用来进行抵御的更好位置来。
长期以来,我们一直保持并发展着我们对销售或支持微软技术的服务提供商所执行的安全要求和政策。例如,在2020年9月,我们更新了与经销商的合同,以扩大微软处理经销商安全事件的能力和权利,并要求经销商为其环境实施具体的安全保护措施,如限制合作伙伴门户网站的访问,并要求经销商在访问我们的云门户网站和基础服务时启用多因素认证(MFA),我们将采取必要和适当的步骤来执行这些安全承诺。我们将继续评估和确定新的机会,以推动整个合作伙伴生态系统的安全,并认识到不断改进的需要。根据我们在过去几个月中所了解的情况,我们正在努力实施改进措施,以帮助更好地保障和保护生态系统,特别是为我们供应链中的技术合作伙伴。
如上所述,在2020年9月,我们推出了MFA来访问合作伙伴中心,并使用委托管理权限(DAP)来管理客户环境。
10月15日,我们推出了一项计划,免费提供两年的Azure Active Directory高级计划,提供扩展访问额外的高级功能以加强安全控制
微软的威胁保护和安全运营工具,如微软云应用安全(MCAS)、M365 Defender、Azure Defender和Azure Sentinel都增加了检测功能,帮助企业识别和应对这些攻击
我们目前正在为希望向经销商提供特权访问的组织试行新的和更精细的功能。
我们正在试行改进的监控,以使合作伙伴和客户能够管理和审计其授权的特权账户,并删除不必要的权限。
我们正在审计未使用的特权账户,并与合作伙伴合作,评估和删除不必要的特权和访问。
今天,我们还发布了技术指南,可以帮助企业保护自己免受最新的诺贝尔奖活动的影响,因为该行为者已经磨练了其技术,我们还发布了对合作伙伴的指导。
这些只是我们已经采取的直接措施,在未来几个月,我们将与所有的技术合作伙伴紧密合作,进一步提高安全性。我们将使各种规模的服务提供商更容易免费或以低价获得我们最先进的管理安全登录、身份和访问管理解决方案的服务。
正如我们在5月份所说,进程必须继续。在微软,我们将在所有这些问题上继续努力,并将继续与整个私营部门、美国政府和所有其他有关政府合作,以取得这一进展。
