Nowości

Mimecast twierdzi, że hakerzy SolarWinds włamali się do jej sieci i szpiegowali klientów

Łańcuch i kłódka siedzą na klawiaturze laptopa.
Powiększać / Włamanie się do komputera.

Dostawca usług zarządzania pocztą e-mail Mimecast potwierdził, że włamanie do sieci używane do szpiegowania klientów zostało przeprowadzone przez tych samych zaawansowanych hakerów, którzy byli odpowiedzialni za atak na łańcuch dostaw SolarWinds.

Hakerzy, o których amerykańskie agencje wywiadowcze twierdziły, że prawdopodobnie mają rosyjskie korzenie, wykorzystali aktualizację wsteczną oprogramowania SolarWinds Orion, aby zaatakować niewielką liczbę klientów Mimecast. Wykorzystując złośliwe oprogramowanie Sunburst, które wkradło się do aktualizacji, napastnicy najpierw uzyskali dostęp do części środowiska produkcyjnej siatki Mimecast. Następnie uzyskali dostęp do certyfikatu wystawionego przez Mimecast, którego niektórzy klienci używają do uwierzytelniania różnych usług internetowych Microsoft 365 Exchange.

Dotykanie połączeń Microsoft 365

Współpracując z firmą Microsoft, która jako pierwsza odkryła naruszenie i zgłosiła to firmie Mimecast, badacze z firmy odkryli, że cyberprzestępcy wykorzystali następnie certyfikat do „łączenia się z małą jednocyfrową liczbą dzierżawców M365 naszych wspólnych klientów z zakresów adresów IP innych niż Mimecast . ”

Hakerzy uzyskali także dostęp do adresów e-mail, informacji kontaktowych oraz „zaszyfrowanych i / lub zaszyfrowanych i zaszyfrowanych danych uwierzytelniających”. Pobrano również ograniczoną liczbę repozytoriów kodu źródłowego, ale Mimecast powiedział, że nie ma dowodów na modyfikacje lub wpływ na produkty firmy. Firma stwierdziła, że ​​nie ma dowodów na to, że hakerzy uzyskali dostęp do wiadomości e-mail lub zawartości archiwalnej, którą Mimecast przechowuje w imieniu swoich klientów.

W opublikowanym we wtorek poście urzędnicy Mimecast napisali:

Chociaż dowody wykazały, że ten certyfikat był używany tylko do niewielkiej liczby klientów, szybko sformułowaliśmy plan ograniczenia potencjalnego ryzyka dla wszystkich klientów, którzy go używali. Udostępniliśmy nowe połączenie certyfikacyjne i doradziliśmy tym klientom i odpowiednim partnerom pomocniczym, za pośrednictwem poczty elektronicznej, powiadomień w aplikacji i połączeń wychodzących, aby podjęli środki ostrożności, aby przejść na nowe połączenie. Nasz publiczny post na blogu zapewnił wgląd w ten etap incydentu.

Koordynowaliśmy z firmą Microsoft, aby potwierdzić, że nie było dalszego nieautoryzowanego użycia skompromitowanego certyfikatu Mimecast i współpracowaliśmy z naszymi klientami i partnerami w celu migracji do nowego połączenia certyfikatu. Gdy większość naszych klientów zaimplementowała nowe połączenie z certyfikatem, firma Microsoft wyłączyła certyfikat, który został naruszony, na nasze żądanie.

Kilku wybranych

Atak na łańcuch dostaw SolarWinds wyszedł na jaw w grudniu. Atakujący przeprowadzili to, infekując system kompilacji i dystrybucji oprogramowania firmy z Austin w Teksasie i wykorzystując go do wypchnięcia aktualizacji, która została pobrana i zainstalowana przez 18 000 klientów SolarWinds.

Mimecast był jednym z nielicznych klientów, którzy otrzymali kolejne szkodliwe oprogramowanie, które umożliwiło atakującym zagłębienie się w zainfekowanych sieciach w celu uzyskania dostępu do określonych treści. Przedstawiciele Białego Domu powiedzieli, że w ataku padło co najmniej dziewięć agencji federalnych i 100 prywatnych firm, które pozostawały niewykryte przez wiele miesięcy.

Włamania do certyfikatów umożliwiają hakerom odczytywanie i modyfikowanie zaszyfrowanych danych przesyłanych przez Internet. Aby tak się stało, haker musi najpierw uzyskać możliwość monitorowania połączenia wchodzącego i wychodzącego z sieci celu. Zazwyczaj włamania do certyfikatów wymagają dostępu do wysoce ufortyfikowanych urządzeń magazynujących, które przechowują prywatne klucze szyfrowania. Ten dostęp zwykle wymaga hakowania na głębokim poziomie lub dostępu do informacji poufnych.

Podkreślając chirurgiczny charakter ataku łańcucha dostaw, Mimecast znalazł się wśród niewielkiego odsetka klientów SolarWinds, którzy otrzymali kolejny atak. Z kolei spośród kilku tysięcy klientów Mimecast, o których sądzono, że korzystali ze skompromitowanego certyfikatu, mniej niż 10 było faktycznie celem. Ograniczenie liczby celów otrzymujących kolejne szkodliwe oprogramowanie i przeprowadzanie ataków z usług zlokalizowanych w USA to dwa sposoby, w jakie hakerzy powstrzymali ich działanie przed wykryciem.

Kiedy Mimecast po raz pierwszy ujawnił kompromitację certyfikatu w styczniu, podobieństwa z częściami ataku SolarWinds wywołały spekulacje, że te dwa zdarzenia były ze sobą powiązane. Wtorkowy post Mimecast jest pierwszym formalnym potwierdzeniem tego połączenia.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook