Różności i nowinki technologia

Firma ochroniarska Malwarebytes została zainfekowana przez tych samych hakerów, którzy zaatakowali SolarWinds

Firma ochroniarska Malwarebytes została zainfekowana przez tych samych hakerów, którzy zaatakowali SolarWinds

Firma ochroniarska Malwarebytes stwierdziła, że ​​włamali się do niego ci sami hakerzy sponsorowani przez państwo, którzy włamali się do kilkunastu agencji rządowych i firm prywatnych.

Osoby atakujące są najbardziej znane z pierwszego włamania do SolarWinds z siedzibą w Austin w Teksasie, naruszenia jego systemu dystrybucji oprogramowania i wykorzystania go do infekowania sieci klientów, którzy korzystali z oprogramowania do zarządzania siecią SolarWinds. Jednak w ogłoszeniu internetowym Malwarebytes powiedział, że atakujący użyli innego wektora.

„Chociaż Malwarebytes nie korzysta z SolarWinds, my, podobnie jak wiele innych firm, byliśmy ostatnio celem tego samego podmiotu będącego zagrożeniem” – stwierdzono w komunikacie. „Możemy potwierdzić istnienie innego wektora włamań, który działa poprzez nadużywanie aplikacji z uprzywilejowanym dostępem do środowisk Microsoft Office 365 i Azure”.

Śledczy ustalili, że osoba atakująca uzyskała dostęp do ograniczonej części wewnętrznych firmowych wiadomości e-mail. Jak dotąd śledczy nie znaleźli dowodów na nieautoryzowany dostęp lub włamanie w jakimkolwiek środowisku produkcyjnym Malwarebytes.

Zawiadomienie to nie pierwszy raz, gdy badacze stwierdzili, że atak na łańcuch dostaw oprogramowania SolarWinds nie był jedynym sposobem infekcji.

Kiedy masowy kompromis wyszedł na jaw w zeszłym miesiącu, Microsoft powiedział, że hakerzy ukradli również certyfikaty do podpisywania, które pozwoliły im podszyć się pod dowolnego istniejącego użytkownika i konta celu za pomocą Security Assertion Markup Language. Język oparty na XML, zwykle nazywany w skrócie SAML, umożliwia dostawcom tożsamości wymianę danych uwierzytelniania i autoryzacji z dostawcami usług.

Dwanaście dni temu agencja ds. Bezpieczeństwa cybernetycznego i infrastruktury stwierdziła, że ​​osoby atakujące mogły uzyskać wstępny dostęp za pomocą funkcji odgadywania lub rozpylania haseł lub wykorzystywania danych uwierzytelniających administracyjnych lub usługowych.

Mimecast

„W naszym konkretnym przypadku aktor zagrażający dodał samopodpisany certyfikat z danymi uwierzytelniającymi do głównego konta usługi” – napisał Marcin Klęczyński, badacz Malwarebytes. „Stamtąd mogą uwierzytelniać się za pomocą klucza i wykonywać wywołania interfejsu API w celu żądania wiadomości e-mail za pośrednictwem MSGraph”.

W zeszłym tygodniu dostawca usług zarządzania pocztą e-mail Mimecast powiedział również, że hakerzy złamali wydany przez niego certyfikat cyfrowy i wykorzystali go do namierzania wybranych klientów, którzy używają go do szyfrowania danych, które wysyłali i otrzymywali za pośrednictwem usługi firmy w chmurze. Chociaż Mimecast nie powiedział, że złamanie certyfikatu było związane z trwającym atakiem, podobieństwa sprawiają, że prawdopodobnie oba ataki są powiązane.

Ponieważ napastnicy wykorzystali swój dostęp do sieci SolarWinds, aby naruszyć system tworzenia oprogramowania firmy, badacze Malwarebytes zbadali możliwość, że oni również byli wykorzystywani do infekowania swoich klientów. Jak dotąd Malwarebytes powiedział, że nie ma dowodów na taką infekcję. Firma zbadała również swoje repozytoria kodu źródłowego pod kątem oznak złośliwych zmian.

Malwarebytes powiedział, że po raz pierwszy dowiedział się o infekcji od Microsoftu 15 grudnia, dwa dni po pierwszym ujawnieniu włamania do SolarWinds. Firma Microsoft zidentyfikowała zagrożenie sieciowe poprzez podejrzaną aktywność aplikacji innej firmy w dzierżawie Microsoft Office 365 firmy Malwarebytes. Taktyka, techniki i procedury ataku Malwarebytes były w kluczowych aspektach podobne do aktora będącego zagrożeniem zaangażowanego w ataki SolarWinds.

Powiadomienie Malwarebytes to czwarty raz, kiedy firma ujawniła, że ​​była celem hakerów SolarWinds. Microsoft i firmy bezpieczeństwa FireEye i CrowdStrike również były celem ataków, chociaż CrowdStrike powiedział, że próba zainfekowania jego sieci nie powiodła się. Agencje rządowe, które zostały dotknięte skutkami, obejmują Departamenty Obrony, Sprawiedliwości, Skarbu, Handlu i Bezpieczeństwa Wewnętrznego, a także Narodowe Instytuty Zdrowia.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook