怀疑的俄罗斯黑客利用Microsoft供应商来破坏客户

华盛顿（路透社）-调查人员说，可疑的俄罗斯黑客在多年以来最严重的美国网络攻击背后，利用经销商对Microsoft Corp服务的访问来渗透目标，这些目标没有从SolarWinds Corp受到损害的网络软件。

虽然以前仅是对SolarWinds Orion软件的更新是唯一的切入点，但是安全公司CrowdStrike Holdings Inc周四表示，黑客已经赢得了向其出售Office许可证的供应商的访问权，并以此来尝试阅读CrowdStrike的电子邮件。它没有具体确定黑客是危害SolarWinds的黑客，但是两名熟悉CrowdStrike调查的人说他们是。

CrowdStrike使用Office程序进行文字处理，但不使用电子邮件。微软在12月15日向CrowdStrike指出了几个月前的失败尝试。

不使用SolarWinds的CrowdStrike表示，未发现入侵企图的影响，因此拒绝透露经销商名称。

一位知情人士告诉路透社：“他们通过转售商的访问进入，并试图启用邮件的'阅读'特权。” “如果它一直使用Office 365来发送电子邮件，那将是一场比赛。”

许多Microsoft软件许可都是通过第三方出售的，并且当客户添加产品或员工时，这些公司可以几乎恒定地访问客户的系统。

微软高级总监杰夫·琼斯（Jeff Jones）说：“我们对最近的攻击进行的调查发现了涉及滥用凭据以获得访问权限的事件，这可能有多种形式。 “我们尚未发现Microsoft产品或云服务的任何漏洞或危害。”

使用微软的经销商试图闯入一家顶级的数字防御公司的做法提出了新的问题，即美国官员声称这些黑客可以利用多少种途径来代表俄罗斯政府。

到目前为止，已知的受害者包括CrowdStrike安全竞争对手FireEye Inc和美国国防部，州，商务，财政部和国土安全部。包括微软和思科系统公司在内的其他大公司表示，他们在内部发现了受污染的SolarWinds软件，但没有发现任何迹象表明黑客使用了该软件在其网络中广泛传播。

到目前为止，总部位于得克萨斯州的SolarWinds是唯一被公开确认的初始入侵渠道，尽管数天以来，官员们一直在警告黑客有其他入侵方法。

路透社一周前报道说，微软产品曾被用于攻击。但是联邦官员表示，他们还没有将其视为最初的媒介，而且软件巨人表示，竞选中没有使用其系统。 （ 这里）

微软随后暗示其客户仍应保持警惕。在星期二的一篇长篇技术博客文章的结尾，它用一句话提到看到黑客“从受信任的供应商帐户中入侵了Microsoft 365 Cloud，攻击者破坏了供应商环境。”

Microsoft要求其供应商有权访问客户端系统，以便安装产品并允许新用户。但是，要在任何特定时间发现哪些供应商仍然具有访问权限非常困难，以至于CrowdStrike开发并发布了审核工具来做到这一点。

在通过云提供商进行了一系列其他攻击之后，其中包括归因于中国政府支持的黑客的一系列主要攻击（称为CloudHopper），微软今年对经销商实施了新的控制措施，包括对多因素身份验证的要求。

网络安全和基础设施安全局以及国家安全局没有立即发表评论。 同样在周四，SolarWinds发布了更新程序，以修复其旗舰网络管理软件Orion中的漏洞，这是因为发现了针对该公司产品的第二组黑客。 在此之前，微软周五在另一篇博客文章中说，SolarWinds的软件除与俄罗斯有关联的黑客外，还受到第二组无关的黑客的攻击。 目前尚不清楚第二批黑客的身份或他们在任何地方成功破解的程度。