微软阻止中国黑客攻击云邮箱账号

关键要点

中国黑客利用微软云邮箱服务的漏洞，攻击了25个组织的云邮箱账号。主要目标是西欧组织，且还涉及美国政府部门，如商务部和国务院。攻击者“Storm0558”利用伪造的认证令牌来获取邮箱账号，以便进行间谍活动。国家级攻击的复杂性使其比一般网络犯罪更难以发现，且通常具有较高的攻击技术与资金支持。

上周早些时候，我们得知一个中国黑客团体利用微软云邮箱服务的一个漏洞，获取了25个组织的云邮箱账号。此次攻击主要针对西欧的组织，但主流媒体也报道称，美国政府机构，如商务部和国务院，同样遭到了黑客攻击。

微软的调查结果表明，该黑客团体被称为Storm0558，他们伪造了认证令牌，以入侵邮箱账号，主要目的是获取这些系统内部的数据进行间谍活动。

网络攻击时有发生，但国家级的攻击手段则属于另一种类型不仅关乎国家安全，其复杂性也使得发现这些攻击变得非常困难。这些威胁团体在选择目标时非常谨慎，相比大多数机会主义网络犯罪分子，他们的攻击手段极其复杂，并且拥有大量资金来实施攻击。

白鲸加速器安卓版

Storm0558的攻击并不是常见的“破门而入”模式，更多的是一种先进且经过深思熟虑的攻击方式。国家级攻击者拥有资源和技能可以轻而易举地入侵账户，而且一旦进入，他们可以在内部不被发现。在此次攻击中，Storm0558的攻击者在政府邮箱账号中潜伏，甚至在相关机构注意到异常邮件活动之前，已悄然潜伏了整整一个月。

该事件给我们带来了哪些启示？

虽然这次事件是针对美国政府的，但任何组织在应对高级邮箱侵扰攻击时都可以从中获得重要经验。

在Storm0558的攻击案例中，威胁行为者通过利用认证流程中的漏洞，成功访问了目标账户。由于每次攻击的方式各异，安全团队可能没办法预料到存在的未被发现或未公开的漏洞，这些漏洞可能导致账户被接管。

要根据形势保持领先并确保最好的保护措施，需要采取分层的安全策略。请务必从建立基础安全措施入手，包括实施多重身份验证，以确保邮箱账号的访问安全。在此基础上，继续通过强大的漏洞和应用安全程序来增强防护能力。

然而，虽然这些步骤可以防止初步入侵，但一旦攻击者确实成功进入一个账号，建立检测机制同样重要。如今的网络犯罪分子只会变得更加狡猾，要经历账户被破解的风险几乎是不可避免的。

安全团队应考虑采用基于行为的异常检测技术，特别是要侧重于账户持有者的身份和行为。组织不应该依赖人工检测来发现可疑活动网络犯罪分子已经变得太擅长隐匿行踪。检测必须在几秒内完成，尤其是对于拥有高价值情报的组织，如联邦政府而言。

无论是为了高价值的国家情报而进行的先进邮箱攻击，还是为了简单的金钱利益而进行的小规模犯罪，攻击事件只会继续上升，组织必须相应强化他们的防御措施。通过在强调整个安全防护体系的同时强调检测和修复，安全团队可以把自己置于抵御当今威胁环境的最佳状态。

迈克布里顿，Abnormal Security首席信息安全官