SolarWinds事件黑客開啟新一輪釣魚活動

據外媒，微軟威脅情報中心MSTIC近期表示SolarWinds事件背后的攻擊者正在進行一場針對150個國家政府機構的網絡釣魚運動。據悉這次網絡釣魚活動主要針對的是政府機構、智庫、顧問和非政府組織。

對此，Akamai安全技術團隊副總裁兼首席技術官Charlie Gero表示，“Nobelium（SolarWinds事件的黑客組織）正在做一些非常有趣的事情。他們將惡意軟件存儲在人們不會阻止的域中，例如Google Firebase和Dropbox。這些域通過受信任的SaaS提供商有效地清洗惡意軟件。這意味著DNS層的保護雖然至關重要，但顯然還不夠。企業機構也需要內容檢查（content inspection），這就是SWG（安全Web網關）發揮作用的地方。它將保護從專注于讓最終用戶遠離互聯網上的危險區域擴展到接受無處不在的危險，因此掃描病毒、執行沙盒等是必須的。”

Akamai安全技術團隊副總裁兼首席技術官Charlie Gero

Charlie Gero認為，“在某種程度上，這在一個不同的用例中，再次確認了零信任的重要性。過去，我們根據用戶的位置（在邊界內）信任用戶，但今天我們認識到這種做法不夠安全，我們需要根據身份、風險等來驗證每個訪問。我們仍常常根據數據的位置來信任數據（例如：它在Dropbox上，我的公司信任Dropbox，所以我們也信任）。但正如我們所見，犯罪分子越來越依賴這種按位置信任內容的錯誤來繞過企業保護。因此，重要的是，企業機構不應該根據其來源來信任用戶、內容或任何東西，而應該始終進行掃描和驗證。”

從新年伊始Microsoft確認在其內部環境中檢測到Solar Winds Orion平臺供應鏈攻擊期間下載的惡意可執行文件，該事件對美國政府機構、私營企業造成的危害可能比預期的更加嚴重。根據目前掌握的最新信息，大約有超過250家美國聯邦機構和企業受到影響。

微軟表示，黑客入侵了SolarWinds的Orion監控和管理軟件，從而讓他們能夠冒充該組織現有的任意用戶和帳號，美國網絡司令部和國家安全局在外國網絡內部放置的用于檢測潛在攻擊的預警傳感器并沒有生效。此外，報道中還指出在今年總統大選期間，政府還利用了SolarWinds的資源和技術來進行檢測，從而讓黑客躲過了美國國土安全部門的檢測。