微软结束 SolarWinds 事件调查：部分源代码被盗，1000人参与

微软自2020年12月中旬起开展调查，原因是它发现和俄罗斯相关链的黑客组织攻陷了软件供应商 SolarWinds 并将恶意软件插入 Orion IT 监控系统中，而微软在内部也部署了该系统。12月31日，微软指出发现攻击者利用从 SolarWinds Orion app 中获得的访问权限跳转到微软内部网络中，访问了多个内部项目的源代码。

微软指出，“分析表明去年11月末攻击者首次查看了某源仓库中的一个文件，我们修复了这些账户后攻击者停手。”微软指出，切断入侵者的访问权限后，攻击者在12月甚至是2021年1月初继续尝试访问，也就是SolarWinds 事件披露数周后，甚至在微软公开表明正在调查该事件之后还在尝试访问。

微软的安全团队指出，“并不存在与任何单一产品或服务相关的所有仓库遭访问的情况。大多数源代码遭访问的情况并不存在。“微软指出，“仅有几个文件通过仓库搜索而遭查看”。微软指出，从攻击者在代码仓库中执行的查询来看，攻击者似乎专注于定位可用于将访问权限扩展到微软其它系统的机密信息（即访问令牌）。不过由于微软内部的编程实践禁止开发人员在源代码中隐藏机密信息，这些查询均以失败告终。

但除了查看文件外，攻击者还设法下载了一些代码。然而，微软指出这些数据规模不大且攻击者仅下载了和某些基于云的产品相关的一些组件的源代码。

微软指出，这些仓库中包含的代码适用于：

总体而言，这起事件似乎并未损害微软产品或使攻击者获得对用户数据的大规模访问权限。

微软在报告中指出，从SolarWinds 事件获得的经验教训是，具有零信任的思维状态并保护特权凭据的安全。

微软总裁 Brad Smith 表示，SolarWinds 攻击事件持续长达数月，美国多家政府机构和网络安全厂商遭受了“有史以来最复杂的攻击”，而该事件牵扯了数量庞大的开发人员。

2020年12月，火眼公司和微软披露了 SolarWinds 攻击事件，攻击者将Sunburst（或称 Solorigate）恶意软件植入 SolarWinds 公司的 Orion 网络管理软件中，造成1.8万个组织机构受影响。美国白宫指出，这起攻击事件经过长达数月的策划，100家美国企业遭攻击。

Smith 指出，“从软件工程的角度来看，它很可能是有史以来规模最大、最复杂的攻击活动。”

微软也遭Orion 恶意更新的影响，因此派遣500名工程师调查此事，但 Smith 表示，幕后攻击者（被指为俄罗斯）的工程资源是微软的两倍还多。他指出，“我们分析了牵涉这起攻击事件的工程师有多少名，我们认为肯定超过1000名。”

已经证实的受此影响的美国机构包括美国财政部、网络安全和基础设施局 (CISA)、国土安全部、美国国务院、美国能源部以及美国国家核安全管理局。

Smith 此前曾告诫警惕这起攻击，因为受政府支持的针对技术供应链的网络攻击者会对更广的经济造成风险，“虽然数世纪以来，各国政府都在互相监控，但近期的攻击者使用的攻击技术为更广范围经济的技术供应链带来风险。”他指出，这起攻击针对的是“全球的关键基础设施的信任和可靠性，目的是推进某国的情报机构的发展。”

Smith 表示，攻击者仅重写了 Orion 内的4032行代码，而 Orion 本身由数百万行代码组成。

火眼公司的首席执行官 Kevin Mandia 也探讨了攻击者如何成功将智能手机接入火眼员工账户之后触及双因素认证系统，而员工需要通过该双因素认证码远程登录公司的 VPN。

Mandia 表示，“和所有在家办公的人一样，我们也有双因素认证。手机收到一个代码，我们必须输入才能登录。火眼的一名员工登录了，不过安全同事发现这名员工名下的手机有两部，于是就询问这名登录员工，‘你在网络上又注册了一部手机吗？’但员工表示，‘不，并没有，并不是我登录的。’”火眼公司 Mandiant 事件响应团队的高级副总裁兼首席技术官 Charles Carmakal 此前曾指出，火眼公司的安全系统向这名员工和安全团队发出关于未知设备现身网络的警报信息。攻击者通过 SolarWinds 更新获得对这名员工用户名和密码的访问权限。这些凭据使得攻击者能够在双因素认证系统中注册设备。

而 Orion 更新并未使企业遭渗透的唯一方法，攻击者还获得对云应用程序的访问权限。华尔街日报报道称，多达30%的失陷组织机构和 SolarWinds 之间并不直接关联。

微软发布的调查报告请见：

https://msrc-blog.microsoft.com/2021/02/18/microsoft-internal-solorigate-investigation-final-update/