中国黑客攻击对部分使用较廉价微软服务的用户难以察觉——《华尔街日报》

此次入侵事件于上月首次向微软报告。图片来源：贾斯汀·莱恩/祖马通讯社拜登政府官员和一位有影响力的参议员正呼吁对微软的云计算服务进行改革，原因是近期中国网络入侵事件的受害者由于未订阅该软件公司的高级服务而未能发现黑客攻击。

企业通过使用记录服务器活动的日志软件来检测和调查攻击。但美国国土安全部网络安全和基础设施安全局的官员表示，在这起最新的中国间谍活动中，检测攻击所需的关键日志信息仅面向微软顶级云服务的购买者提供。

周二披露的这起黑客攻击事件影响了全球约二十多家机构，包括美国国务院和商务部。网络安全调查人员称，该攻击展现出异常高超的技术水平，且针对特定目标。

美国国务院最先发现此次入侵并于上月向微软报告。但安全专家表示，用于发现该攻击的工具并非所有微软365套件都包含。

根据微软官网信息，该工具作为公司顶级微软365许可套件（称为E5）的一部分提供，其价格比功能较少的E3套件高出约60%。对于政府用户，这些套件分别称为G5和G3。

周三，拜登政府官员表示，微软应更广泛地提供此类信息。

“每个使用微软365这类技术服务的组织都应默认获得日志和其他安全数据，以便合理检测恶意网络活动，“一位高级官员在讨论该事件的新闻电话会议上表示。

知情人士称，官方正在审查微软是否符合联邦对云服务商的网络安全要求。

参议院情报委员会成员、长期关注网络安全和技术政策议题的民主党参议员罗恩·怀登谴责了这一做法。

“提供不安全产品，然后对防黑客攻击的必要高级功能收费，就像卖车时把安全带和安全气囊列为额外收费项目，“怀登说。

微软表示正在考虑解决方案。

“我们正在评估反馈意见，并愿意探索其他模式，“微软发言人周四表示，“我们正就此与CISA等机构保持密切沟通。”

此次大规模黑客活动的发现源于国务院安全专家——他们配备了日志工具并在6月发现网络异常。这促使美国政府通知微软。当微软获悉该活动后，即使目标公司未购买高级服务也能识别受害者。

日志文件是记录微软云活动的数字账本，详细列出计算机系统事件——如访问系统时使用的浏览器和操作系统等数字线索——这些对追踪黑客攻击后的犯罪活动至关重要。

这些文件通常可供生成它们的计算机服务器操作员使用。云计算时代——由微软等云公司运营硬件——通过将维护责任划分给云运营商及其客户，使情况变得复杂。

云供应商表示，存储大量此类信息的系统可能成本高昂。与此同时，安全专家称，客户往往在被黑客攻击后才意识到需要哪些日志文件，而那时通常为时已晚，无法获取这些文件。

微软在6月下旬告诉网络安全公司Volexity的一位客户，其成为了此次黑客攻击的受害者，但Volexity的调查人员未能找到入侵的证据。

Volexity团队花费数小时仔细检查客户有限的日志文件，寻找任何异常活动，如失败的登录尝试或新的邮件转发规则。

“我们在现有数据中找不到任何证据，”Volexity总裁Steven Adair表示。

与许多其他客户一样，Volexity的客户使用了价格较低的Microsoft 365 E3软件许可证，该许可证包含一些日志信息，但未跟踪可能揭示攻击的具体邮箱数据。

Adair拒绝透露客户名称，但表示他们不为政府工作，且曾从事与中国间谍典型目标相关的人权问题工作。

“我们的大多数客户使用的是E3或同等许可证，因此日志不可用，”Adair说。

联系Robert McMillan，邮箱：[email protected]；联系Dustin Volz，邮箱：[email protected]

出现在2023年7月14日的印刷版中，标题为《美国批评微软层级制度遭黑客攻击》。