微软表示,在过去一年里,该公司发现的由国家支持的黑客活动中,R国占了58%,主要攻击目标中排在首位的是美国的政府机构和智库,其次是乌克兰、英国和欧洲北约成员国。 在截至2021年6月30日的一年中,由R国政府支持的黑客的成功率达到了32%,而此前同期12个月的成功率为21%。

微软刚刚在其第二份年度数字防御报告(涵盖2020年7月至2021年6月)中表示,在微软检测到的国家支持的黑客攻击尝试中,Z国只占不到十分之一,但成功侵入目标网络的几率为44%。这份报告共七章134页,重点分析网络犯罪的态势、民族国家的威胁、供应链、IoT和OT安全、混合工作环境安全、虚假信息影响行动。

虽然R国国家支持的大量黑客活动是众所周知的,但微软的报告提供了不同寻常的具体细节,说明这些攻击组织是如何与美国其他对手相抗衡的。

该报告还指出,勒索软件攻击是一种严重且日益严重的瘟疫,美国是迄今为止受攻击最多的国家,受到的攻击是第二位国家的三倍多。勒索软件攻击是犯罪行为,主要是出于经济动机。

相比之下,国家支持的黑客主要是情报收集——无论是为了国家安全,还是为了商业或战略优势——因此通常得到政府的默许或容忍,美国的网络运营商是最熟练的。 与华盛顿政府机构密切合作的微软公司发布的这份报告没有涉及美国政府的黑客行为 。

然而,SolarWinds的供应链攻击事件令美国政府非常尴尬,一些华盛顿议员要求进行某种报复。美国总统乔•拜登(Joe Biden)很难划定允许何种网络攻击活动的红线。他向 R 国总统弗拉基米尔·普京(Vladimir Putin)发出了模糊的警告,要求他打击勒索软件犯罪分子,但几名美国政府高级网络安全官员本周表示,他们没有看到任何证据表明这一警告起到了效果。

微软数字安全部门(Digital Security Unit)负责人克里斯汀•古德温(Cristin Goodwin)表示,总体而言,单一民族国家的黑客攻击成功率约为10%-20%。该部门主要关注单一民族国家。古德温说:“对我们来说,努力保持领先,并继续降低这个成功入侵的数字,这真的很重要,因为它越低,我们做得越好。”

R 国的黑客攻击尝试从2019-20年有52%的上升,在被微软用来提醒客户的“民族国家通知服务”检测到的全球网络入侵指标中占比很高。在截至6月30日的一年中,NK国是第二大来源国,占23%,而此前不到11%。Z国从12%降至8%。


但尝试的数量和效果是不同的。微软发现,在过去一年中,NK国鱼叉式网络钓鱼的失败率为94%。鱼叉式网络钓鱼是指以个人为目标,通常使用陷阱邮件。

微软说,在其发现的所有国家支持的黑客攻击中,只有4%的攻击目标是关键基础设施, R 国特工对它的兴趣远不及Z国或IR国的网络特工。

在去年12月太阳风黑客事件被发现后, R 国人重新把重点转向了涉及外交政策、国防和国家安全的政府机构,然后是智库,最后是医疗保健机构,他们把目标对准了在美国、澳大利亚、加拿大,以色列,印度和日本。

微软在报告中表示, R 国国家黑客最近的效率提高“可能预示着未来一年将出现更多影响较大的攻击入侵事件”。在被发现的 R 国黑客活动中,有92%以上是该国对外情报机构SVR的精英黑客团队,他们以“舒适熊”(Cozy Bear)闻名。

被微软称为Nobelium的Cozy Bear是太阳风黑客事件的幕后黑手,该事件在2020年的大部分时间里都没有被发现,华盛顿方面对此深感尴尬。严重受害的美国政府机构包括美国司法部(Department of Justice), R 国网络间谍从司法部窃取了美国纽约检察官办公室80%的电子邮件账户访问权。

在报告所述期间,微软在全球范围内发布了约7500个国家通知,但这些通知并不详尽。它们只是反映了微软检测到的东西。

微软的报告给出了网络安全的钟型曲线,基本的网络安全卫生可以防御98%的网络攻击。说一千道一万,基本上就是五个招数:反恶意软件、最小访问权限、多因素认证、及时更新版本和保护数据安全。

报告的结论部分总结了几点,具有现实的指导意义。主要是:做好基础工作;要有系统观念;任何元素皆可作为攻击向量;坚持以人为本;采用零信任架构原则。

参考资源 

1、https://www.securityweek.com/microsoft-russia-behind-58-detected-state-backed-hacks

2、https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWMFIi