電腦軟件代碼示意圖。
《華爾街日報》周五(3月12日)引述知情人士的消息說,微軟正在調查是否中共黑客藉助內鬼發起本次全球網絡攻擊。
知情人士透露,微軟正在調查中共黑客是否從微軟的安全合作夥伴處獲得敏感信息。
疑點是,在1月初開始的首次網絡攻擊為何恰好在微軟得以向客戶發送軟件打補丁之前的一周。那段時間,只有少數與中國有聯繫的黑客組織獲得了補丁工具,補丁本是用來填補Exchange電郵軟件的電腦漏洞,但其概念驗證代碼也可能被黑客獲取後、用來從事網絡攻擊。
消息人士說,調查人員的重點是,微軟之前分享的漏洞程序信息是否通過一個合作夥伴泄露給其它團體,可能是無意、也可能是有意傳出。
有網絡安全公司的研究人員發現,第二波對微軟漏洞的網絡攻擊始於2月28日,其中一些工具與微軟在2月23日向殺毒軟件公司和一些安全合作夥伴分發的「概念驗證」(Proof of Concept)攻擊代碼有相似之處。
消息人士稱,雖然微軟的調查還沒有得出結論,但調查人員正在研究2月23日向一組特定安全公司發出的通知中所包含的信息是否可能已被黑客利用。
據悉,微軟2月23日發出的通知中包含了關於Exchange中未修補缺陷的技術細節以及「概念驗證」樣本,這些樣本可能被用來攻擊這些系統。
微軟和其它安全公司一直在審查一項名為「微軟主動保護計劃」(Mapp)的信息共享計劃,該計劃創建於2008年,目的是讓安全公司可以優先檢測新出現的威脅。
據熟悉Mapp通信的消息人士透露,微軟在2月23日提前數周向Mapp驗證合作夥伴發佈了打補丁的信息,稱預計將在兩周後的3月9日打補丁。因為2月28日出現第二波針對Exchange漏洞的網絡攻擊,所以微軟提前了一周(3月2日)推出補丁。
Mapp包括全球80家安全公司,其中約有10家位於中國。2012年,微軟曾將一家中國公司——杭州DPT科技有限公司從Mapp計劃中剔除,因為微軟確定該公司泄露了可用於攻擊的概念驗證代碼,而且該代碼出現在一家中國網站上。
微軟拒絕告知是否有中國公司收到Exchange漏洞的概念驗證代碼。
微軟最早是2月23日發出的概念驗證代碼通知,四天後(2月27日),與中共有關的黑客就被監測到開始在互聯網上掃描含有Exchange漏洞的伺服器。
根據安全公司ESET的數據,從2月28日開始,四個獨立的黑客組織開始了他們廣泛的攻擊。
此外,安全研究人員還在繼續挖掘第一波攻擊——在微軟宣佈Mapp之前的一個多月,最早的攻擊黑客來自中國,他們似乎已洞悉這些漏洞。微軟之前表示,被稱為Hafnium的黑客團體是一個高度複雜的中國團體,他們進行了低數量的有針對性的網絡攻擊,試圖從傳染病研究人員、律師事務所和教育機構竊取信息。
調查人員說,Hafnium可能與其它黑客團體分享信息,也可能沒有;它也可能是自己發現了這些漏洞,也可能是從發現這些漏洞的安全公司那裏得知的。
去年12月,台灣一家名為Devcore的安全公司最早發現微軟漏洞。這是一家專門從事「紅隊」安全評估的公司,其員工會模擬對客戶的網絡進行攻擊,以測試他們的防禦能力。
Devcore在1月5日向微軟報告了這些漏洞,這是在第一起已知的中國網絡攻擊事件發生兩天後。調查人員說,Devcore本身有可能被黑客攻擊,或有可能在一次安全活動中在無意中泄漏了信息。
