上月中有報道指美國財政部和商務部遭懷疑是俄羅斯政府支持的黑客入侵,內部電郵受到監視。而根據進一步調查發現,這次被名為 Solorigate 攻擊的受害範圍超乎想像,連大公司如 Cisco 、 Intel 、 NVIDIA 都受害,而 Microsoft 就透過網誌表示公司裡有一個帳戶曾被黑客用來查看代碼庫的源程式碼,幸而沒有程式碼受到修改。
事件起因來自由 IT 管理公司 SolarWinds 所提供的監察和管理軟件 Orion 的升級版本被黑客植入惡意程式碼。據 Microsoft 的調查,攻擊者是先向供應鏈埋手,入侵他們的軟件或者分發管線,在動態載入函式庫插入後門。當用戶執行程式時,同時載入了被入侵的函式庫後執行後門程式碼,連接指令及控制伺服器,讓黑客進入。黑客其後取得登入憑證和提升權限,從而進一步取得雲端平台的存取權標,找尋目標對象並監視目標的電郵。
據被入侵的 SolarWinds 表示,最多有 18,000 個機構成為攻擊目標,除了美國國務院、國土安全保障局、商務部和能源部之外,連加 Cisco 、 Intel 、 NVIDIA 、 VMWare 、 Belkin 和 Linksys 等科企,與及醫院、大學和會計師事務所都是受害者,而且入侵已經持續了數個月。
而 Microsoft 就表示他們發現有少數內部帳戶被黑客用來查看源程式碼,但由於沒有足夠權限,源程式碼沒有被修改用來進行攻擊,亦沒有證據顯示生產伺服器和客戶數據被黑客存取,系統也沒有用來攻擊其他人。 Microsoft 表示由於他們奉行類似開源的文化,公司內部可以查看源程式嗎,而他們也不依賴源程式碼的保密性來保證產品安全,所以被查看源代碼不會令程式風險提高。 Microsoft Defender Antivirus 上月中開始就已攔截受到入侵的 SolarWinds 程式。