30% ofiar „hakowania SolarWinds” w rzeczywistości nie używało SolarWinds


Kiedy firma zabezpieczająca Malwarebytes ogłosiła w zeszłym tygodniu, że była celem tego samego napastnika, który włamał się do oprogramowania Orion SolarWinds, zauważyła, że atak nie wykorzystał samego SolarWinds. Według Malwarebytes osoba atakująca wykorzystała „inny wektor włamań”, aby uzyskać dostęp do ograniczonego podzbioru firmowych wiadomości e-mail.
Brandon Wales, pełniący obowiązki dyrektora Amerykańskiej Agencji ds. Cyberbezpieczeństwa i Infrastruktury (CISA), powiedział, że prawie jedna trzecia zaatakowanych organizacji nie ma bezpośredniego połączenia z SolarWinds.
[The attackers] uzyskali dostęp do swoich celów na różne sposoby. Ten przeciwnik był kreatywny … jest absolutnie słuszne, że tej kampanii nie należy traktować jako kampanii SolarWinds.
Wiele ataków zyskało początkowe przyczółki dzięki rozpylaniu haseł w celu złamania zabezpieczeń indywidualnych kont e-mail w atakowanych organizacjach. Gdy atakujący zdobyli tę początkową pozycję, wykorzystali szereg złożonych ataków polegających na eskalacji uprawnień i uwierzytelnianiu, aby wykorzystać luki w usługach chmurowych firmy Microsoft. Inny z celów Advanced Persistent Threat (APT), firma zajmująca się bezpieczeństwem CrowdStrike, twierdzi, że osoba atakująca bezskutecznie próbowała odczytać jej wiadomość e-mail, wykorzystując zhakowane konto sprzedawcy Microsoft, z którym firma współpracowała.
Według The Wall Street Journal, SolarWinds bada teraz możliwość, że te wady Microsoftu były pierwszym wektorem APT do własnej organizacji. W grudniu Microsoft powiedział, że wspomniany APT uzyskał dostęp do własnej sieci korporacyjnej i przejrzał wewnętrzny kod źródłowy, ale „nie znalazł żadnych oznak, że nasze systemy były używane do atakowania innych”. W tym czasie Microsoft zidentyfikował ponad 40 ataków na swoich klientów, a liczba ta wzrosła od tamtego czasu.
Wiceprezes firmy Microsoft ds. Bezpieczeństwa, zgodności i tożsamości, Vasu Jakkal, powiedział ZDNet, że kampania „SolarWinds” nie jest odosobnionym przypadkiem, tak bardzo, jak nowym normalnym, mówiąc: „Te ataki będą nadal stawały się bardziej wyrafinowane. spodziewaj się tego. To nie jest pierwszy i nie ostatni. To nie jest wyjątek. To będzie norma ”.