微軟表示中國黑客入侵了電子郵件 - 彭博社
William Turton, Leah Nylen, Sarah Zheng
攝影師:Victor J. Blue/Bloomberg美國商務部長吉娜·雷蒙多(Gina Raimondo)是美國官員之一,其電子郵件在一次微軟公司稱起源於中國的政府賬户黑客攻擊中遭到侵犯,一位知情人士透露。
雷蒙多一直是一個重要的美國人物,實施對中國先進半導體技術的出口限制措施,北京方面譴責這些舉措破壞了自由貿易和全球供應鏈穩定性。該知情人士要求不透露身份,因為討論尚未公開的信息。
吉娜·雷蒙多攝影師:Eric Lee/Bloomberg美國商務部發言人拒絕置評或確認雷蒙多電子郵件被入侵的消息,此前《華盛頓郵報》曾報道。微軟公司週三晚間也拒絕置評。
根據政府官員和微軟的説法,美國商務部和國務院以及西歐的機構也遭到了攻擊。
商務部發言人週三早些時候表示,在接到微軟通知部門遭到入侵的消息後,商務部立即採取了行動。
在週四被問及美國官員遭到黑客攻擊的説法時,中國外交部表示,“美國應儘快説明其網絡攻擊行為,而不是散佈虛假信息和轉移注意力。”
上個月,美國國務院發現異常活動並警告微軟遭受攻擊,一位發言人表示,該機構沒有理由懷疑黑客是在中國的,黑客入侵了微軟Outlook賬户。
“公司的後續調查確定黑客訪問並竊取了少量未分類的Exchange Online Outlook數據,”美國網絡安全和基礎設施安全局(CISA)的一份聲明稱。
尚不清楚其他美國機構受到了什麼影響,但一位高級官員表示,受影響的機構數量在個位數。
美國官員將這些攻擊描述為有針對性的,專注於少數機構的少量賬户,而不是試圖竊取大量數據的黑客攻擊。CISA和FBI發佈了一份聯合通告,敦促組織加強其Microsoft 365雲環境的安全。
這次黑客活動是在國務卿安東尼·布林肯前往北京與中國國家主席習近平等高級官員會晤之前幾周開始的,官員們表示。
在週二晚間發佈的一篇博客文章中,微軟將發動攻擊的組織稱為基於中國的Storm-0558,稱這些黑客在5月中旬從大約25家組織的電子郵件數據中獲取訪問權限後,能夠在一個月內保持不被發現。
“我們評估這個對手專注於間諜活動,比如獲取電子郵件系統以進行情報收集,”微軟執行副總裁查理·貝爾在另一篇文章中寫道。文章。
目前還不清楚哪些歐洲政府受到影響。意大利網絡安全官員表示,他們正在與微軟聯繫,“以確定可能涉及最新攻擊的意大利相關人員。”
在週三的例行吹風會上,中國外交部發言人汪文斌被問及這些發現時,指責美國是世界上最大的網絡攻擊者。
黑客使用“偽造的認證令牌訪問用户電子郵件,使用獲得的微軟賬户(MSA)消費者簽名密鑰,”微軟的貝爾在他的文章中説。然後,黑客能夠訪問由微軟運行和操作的Outlook電子郵件系統。
但黑客是如何獲得使他們能夠訪問這些電子郵件的簽名密鑰的仍然未知。
“這裏真正的大問題是他們從哪裏獲取了MSA密鑰來簽署令牌,”專門研究微軟產品的計算機安全專家薩米·萊霍説。萊霍表示,一個可能的解釋是微軟本身遭受了入侵。
微軟並未立即回應有關黑客如何獲得簽名密鑰的評論請求。
這位高級官員利用這次違規事件的消息來強調微軟與美國政府之間的緊張關係的一個焦點:日誌記錄。日誌允許網絡安全調查人員挖掘自己系統上留下的數字線索,以確定是否遭受了黑客攻擊以及可能的責任方。
更高級的日誌記錄可以捕獲和記錄用户執行的細粒度操作,比如某個特定電子郵件是否被訪問。問題在於微軟是否應該將日誌記錄作為面向政府客户的高級附加組件出售,還是免費包含在其產品中。
缺乏日誌記錄使對所謂的SolarWinds攻擊的調查變得複雜,該攻擊於2020年披露。在那一事件中,俄羅斯政府支持的黑客在由SolarWinds Corp.製作的軟件中安裝了惡意更新,安裝了數字後門,然後可以進一步滲透SolarWinds的客户。最終,約9個美國機構和約100家公司通過SolarWinds更新和其他方法遭受了侵害。
在SolarWinds攻擊之後的一年左右,微軟免費提供了其高級日誌記錄功能。CISA和其他人表示日誌應該是免費的,堅持認為它們對於檢測和調查安全事件至關重要。
週三,高級官員表示,一些受影響的美國機構支付了高級日誌記錄功能,並能夠自行檢測到入侵。保留日誌的微軟能夠識別其他未付費日誌記錄的被黑客入侵的機構。
要求組織支付更好的日誌記錄是導致對網絡中發生的情況視野不足的方案,該官員表示,這個問題需要緊急關注。