下面讓我們看看有關民族國家網絡攻擊者攻擊SolarWinds的更多詳細信息。

在周三發布的更新中，SolarWinds公司總裁兼首席執行官Sudhakar Ramakrishna稱，該公司正在進行的調查確定，此次供應鏈攻擊背后的民族國家攻擊者首先是進入SolarWinds的Office 365環境。從那里，攻擊者獲取員工的登陸憑據，獲得對Orion構建環境的特權訪問，然后為該平臺的軟件更新添加后門程序。此次攻擊活動導致更新受感染，并使政府機構和技術巨頭等重要客戶受到攻擊。

[[381709]]

該調查的主要組成部分是確定攻擊媒介。根據Ramakrishna表示，這次Office 365攻擊很可能是通過“獲取憑據和/或通過(當時的)零日漏洞訪問第三方應用程序”而發生。

Ramakrishna在博客中寫道：“如先前報道，該分析確定威脅行為者未經授權進入我們的環境，并在2019年10月，在我們的Orion Platform軟件版本進行了偵察。我們尚未確定威脅行為者首次獲得對我們環境的未經授權訪問權限的確切日期。我們已經確定與我們的Office 365環境有關的可疑活動，但我們的調查尚未發現Office 365中的特定漏洞，該漏洞可能使威脅參與者通過Office 365進入我們的環境。”

但是，尚不清楚該公司調查組是否排除了這種可能性。

Ramakrishna確認“SolarWinds電子郵件帳戶已被盜用，并被用于以編程方式訪問業務和技術部門SolarWinds目標人員的帳戶。”

SolarWinds拒絕進一步討論該帳戶如何被盜用。

在星期三發表的另一篇博客文章中，Ramakrishna談到該公司不斷改進的安全措施。其中包括零信任和最低特權訪問網絡，以及通過增加對SolarWinds環境中所有SaaS工具的持續監視和檢查來緩解第三方風險。

此次調查更新是在SolarWinds首次宣布供應鏈攻擊后的7周后。從那以后，很多受害者被揭露，包括SolarWinds客戶微軟。在12月31日，這家科技巨頭確認黑客已經訪問微軟源代碼，但未更改或獲取它。在此之前，微軟與FireEye和GoDaddy合作，針對該惡意軟件創建抵御程序，FireEye將其稱為“Sunburst”。

此外，其他供應商也報告其Office 365環境遭受數據泄露攻擊。上個月，Malwarebytes披露遭受SolarWinds相同攻擊者的攻擊，盡管它不是SolarWinds的客戶。Malwarebytes公司首席執行官Marcin Kleczynski在博客文章中，證實另一個入侵媒介的存在–通過濫用對Microsoft Office 365和Azure環境具有特權訪問的“休眠電子郵件保護產品”來運作。

同樣的民族國家攻擊者也攻擊了Mimecast。微軟通知該電子郵件安全供應商，由Mimecast頒發的Microsoft 365 Exchange Web Services身份驗證證書被攻擊者竊取。盡管他們最初并未將事件與SolarWinds黑客聯系起來，但Mimecast最終證實，該數字證書是由SolarWinds攻擊背后相同攻擊者所竊取。