根据政府官员和微软的说法,黑客入侵了与美国和西欧政府机构相关的 Microsoft Outlook 电子邮件帐户,并称攻击者位于中国。
上个月,美国政府一位发言人表示,该部门发现了异常活动,并向微软发出了有关此次攻击的警报。根据美国网络安全和基础设施安全局 (CISA) 的一份声明,微软随后的调查确定,黑客从少数帐户中访问并窃取了非机密 Exchange Online Outlook 数据。
微软将此次攻击背后的组织描述为来自中国,并将其命名为 Storm-0558。< cite class="ojLwA">图片来源:美联社
在接受美国广播公司 (ABC) 的《早安美国》节目采访时,国家安全顾问杰克·沙利文 (Jake Sullivan) 表示:“我们很快就发现了这一问题,并且能够防止进一步的违规行为。此事仍在调查中。”
在一篇博客文章中,微软将此次攻击背后的组织描述为来自中国,并将其命名为 Storm-0558。 5 月中旬,黑客获得了约 25 个组织的电子邮件数据访问权,之后一个月内都没有被发现。
“我们评估该对手的重点是间谍活动,例如访问电子邮件系统以进行间谍活动。”微软执行副总裁查理·贝尔在另一篇文章中写道。
除了国务院之外,尚不清楚还有哪些美国机构受到了此次泄露的影响。一位高级官员表示,机构数量仅为个位数。
正在加载目前还不清楚哪些欧洲政府受到了影响。意大利网络安全官员表示,他们正在与微软联系,“以查明参与最新攻击的潜在意大利主体。”
中国外交部发言人汪文斌在周三的例行吹风会上被问及调查结果时,指责美国是世界上最大的网络攻击者。
广告美国官员称这些攻击是有针对性的,主要针对被入侵机构的少数账户,而不是试图窃取大量数据的黑客攻击。 CISA 和 FBI 发布联合咨询,敦促各组织强化其 Microsoft 365 云环境。
黑客活动在国务卿安东尼·布林肯抵达北京会见包括中国在内的高级官员之前几周就开始了习近平主席。
黑客攻击活动在国务卿安东尼·布林肯抵达北京会见包括中国国家主席习近平在内的高级官员之前的几周内,这一活动就开始了。图片来源:美联社
剩下的一个关键问题是黑客如何能够突破漏洞。
黑客使用“伪造的身份验证令牌”,使用获得的 Microsoft 帐户 (MSA) 消费者签名来访问用户电子邮件关键,”微软的贝尔在他的帖子中说。然后,黑客能够访问由 Microsoft 运行和运营的系统上托管的 Outlook 电子邮件。
正在加载但黑客如何获取允许他们访问这些电子邮件的签名密钥仍然未知。
“这里真正的大问题是他们从哪里获得用于签署令牌的 MSA 密钥,”专门研究微软产品的计算机安全专家萨米·莱霍 (Sami Laiho) 说。莱霍说,一种可能的解释是,微软本身是否遭到了入侵。
微软没有立即回应有关黑客如何获取签名密钥的置评请求。
高级官员利用此次泄露的消息强调了微软与美国政府之间紧张关系的一个根源:日志记录。日志允许网络安全调查人员挖掘留在自己系统上的数字线索,以确定他们是否被黑客攻击以及谁可能对此负责。
更高级的日志记录可以捕获和记录用户所做的精细操作,就像某个电子邮件被访问一样。
问题在于 Microsoft 是否应该将日志记录作为高级附加组件出售给政府客户,还是免费将其包含在其产品中。
A由于缺乏日志记录,对 2020 年披露的所谓 SolarWinds 攻击的调查变得更加复杂。在那一事件中,俄罗斯国家资助的黑客在 SolarWinds Corp. 制造的软件中安装了恶意更新,该更新安装了一个数字后门,然后他们可以使用该后门用于进一步渗透 SolarWinds 客户。最终,九家美国机构和大约 100 家公司通过 SolarWinds 更新和其他方法遭到入侵。
在 SolarWinds 遭到黑客攻击后,微软免费提供了大约一年的高级日志记录功能。 CISA 和其他机构表示日志应该免费,并坚称日志对于检测和调查安全事件至关重要。
周三,高级官员表示,一些受影响的美国机构付费购买了高级日志记录功能,并且能够自行检测到违规行为。保留日志的微软能够识别其他被黑客攻击的人,但不支付日志记录费用。
正在加载要求组织为更好的日志记录付费是导致对网络中发生的情况缺乏可见性的一个原因这位官员表示,并补充说这个问题需要紧急关注。
彭博社
在我们的网站中获取有关技术、小工具和游戏的新闻和评论每周五的技术通讯。 在此处注册。
澳洲中文论坛热点
- 悉尼部份城铁将封闭一年,华人区受影响!只能乘巴士(组图)
- 据《逐日电讯报》报导,从明年年中开始,因为从Bankstown和Sydenham的城铁将因Metro South West革新名目而
- 联邦政客们具有多少房产?
- 据本月早些时分报导,绿党副首领、参议员Mehreen Faruqi已获准在Port Macquarie联系其房产并建造三栋投资联