Mimecast разкрива кражба на изходен код при хак на SolarWinds

  • Sep 04, 2023

Някои клиентски записи също бяха компрометирани при нарушението.

Mimecast разкри кражбата на своя изходен код при кибератака, свързана с Пробив в SolarWinds.

Сигурност

  • 8 навика на много сигурни дистанционни работници
  • Как да намерите и премахнете шпионски софтуер от телефона си
  • Най-добрите VPN услуги: Как се сравняват топ 5?
  • Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това

Според Mimecast's разкриване на инциденти със сигурността, публикуван на 16 март, е използвана злонамерена актуализация на SolarWinds Orion за достъп до производствената мрежова среда на компанията.

Фирмата за сигурност в облака и електронната поща каза, че "ограничен брой хранилища на изходния код" са били изтеглени по време на кибератака през януари, но добави, че в момента компанията няма „никакви доказателства“, че този код е злонамерено модифициран или че загубата ще засегне всички съществуващи продукти.

„Нямаме доказателства, че заплахата е имала достъп до имейл или архивно съдържание, съхранявано от нас, от името на нашите клиенти“, казва Mimecast. „Вярваме, че изходният код, изтеглен от заплахата, е непълен и би бил недостатъчен за изграждане и стартиране на който и да е аспект на услугата Mimecast.“

Наред с кражбата на изходния код, някои сертификати, издадени от Mimecast, и ограничени набори от данни за връзка със сървър на клиенти бяха компрометирани от нападатели.

Mimecast беше уведомен за проблем със сигурността на сертификата от Microsoft през януари, който каза на компанията сертификат, използван за удостоверяване Mimecast Sync and Recover, Continuity Monitor и IEP бяха използвани за насочване към малък брой наематели на M365 от различни от Mimecast IP адреси.

Издадена е нова връзка със сертификат, преди Microsoft да деактивира отвлечения сертификат по искане на Mimecast.

В допълнение, неидентифицираните участници в заплахата са имали достъп до имейл адреси, информация за контакт и идентификационни данни, но последните са били криптирани или хеширани/солирани.

Първо атаката на веригата за доставки на SolarWinds оповестен през декември, повлия на хиляди предприятия и правителствени организации. Доставчикът на софтуер SolarWinds беше пробит и актуализация за неговия софтуер Orion беше заразена със зловреден софтуер преди да бъдат насочени към безброй потребители -- незабавно създаване на широкоразпространена верига за доставки, базирана на компромис.

Mimecast и екипът на Mandiant на FireEye работят заедно по разследване на пробива в сигурността. Според компаниите първоначалното проникване е извършено чрез Зловреден софтуер Sunburst зареден заедно със злонамерената актуализация на Orion.

Mimecast препоръчва на клиентите в САЩ и Обединеното кралство да нулират всички идентификационни данни за връзка със сървъра, използвани на платформата Mimecast, като „предпазна мярка“.

Фирмата за сигурност в облака казва, че хешираните идентификационни данни също се нулират и клиентите, участващи в пробива, са уведомени. Mimecast също надгради своя алгоритъм за криптиране за съхранени идентификационни данни и изтегли SolarWinds Orion от своята инфраструктура. Всички засегнати сървъри са сменени.

Microsoft изчислява, че атаката, за която се подозира, че е дело на спонсорираната от руската държава група Nobelium, може да е изисквала усилия от до 1000 инженери да създам.

Предишно и свързано покритие

  • Microsoft: Създаването на атака на SolarWinds отне повече от 1000 инженери
  • Microsoft: Открихме още три зловреден софтуер, използвани от нападателите на SolarWinds
  • Всичко, което трябва да знаете за хакването на Microsoft Exchange Server

Имате съвет? Свържете се безопасно чрез WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0