日前,微软发表博文称:“本周,我们观察到威胁行动者Nobelium针对政府机构、智库、顾问和非政府组织的网络攻击。这波攻击针对150多个不同组织的约3000个电子邮件帐户。虽然美国组织受到的攻击最多,但目标受害者至少遍及24个国家。至少有1/4的目标组织参与了国际发展、人道主义和人权工作。
来自俄罗斯的Nobelium是2020年针对SolarWinds客户攻击的幕后主使。这些攻击似乎是Nobelium针对参与外交政策的政府机构的多个行动的延续,这些行动是情报收集工作的一部分。
Nobelium通过获得美国国际开发署(USAID)的Constant Contact账户发起了本周的袭击。Constant Contact是一种用于电子邮件营销的服务。在那里,参与者能够分发看似真实的钓鱼邮件,但其中包含一个链接,导尿管点击该链接后就会被插入一个恶意文件,该文件用于分发一个被称为NativeZone的后门。这种后门可以使各种活动成为可能,从窃取数据到感染网络上的其他计算机。
不过许多针对我们客户的攻击被自动阻止,并且Windows防御程序正在阻止涉及这次攻击的恶意软件。我们还在通知所有被列为目标的客户。我们发现了这次攻击并通过MSTIC团队追踪国家行为者的持续工作确定了受害者。我们没有理由相信这些攻击涉及任何针对微软产品或服务的漏洞。
这些攻击之所以引人注目有三个原因。
首先,当加上对SolarWinds的攻击,很明显,Nobelium的策略之一就是获得可信赖的技术供应商并感染他们的客户。通过搭载软件更新和现在的大规模电子邮件供应商,Nobelium增加了间谍行动中附带损害的可能性并破坏了对科技生态系统的信任。
其次,或许并不令人意外的是,Nobelium跟其他类似机构的活动,即往往跟它们所在国家的关切问题密切相关。这一次,Nobelium瞄准了许多人道主义和人权组织。在COVID-19大流行的高峰期,俄罗斯行动者Strontium瞄准了参与疫苗的医疗机构。2019年,Strontium瞄准了体育和反兴奋剂组织。这是网络攻击如何成为越来越多的民族国家实现各种各样的政治目标的首选工具的又一个例子,Nobelium的这些攻击主要针对人权和人道主义组织。
第三,民族国家的网络攻击并没有减缓。我们需要明确的规则来管理民族国家在网络空间的行为并对违反这些规则的后果有明确的预期。我们必须继续团结在《网络空间信任与安全巴黎呼吁(Paris Call for Trust and Security in Cyberspace)》取得的进展周围、更广泛地采纳《网络安全技术协议(Cybersecurity Tech Accord)》和网络和平研究所(CyberPeace Institute)的建议。但是,我们需要做得更多。微软将继续跟有意愿的政府和私营部门合作以推动数字和平事业。”