安全服务公司 Mimecast 确认 SolarWinds 黑客窃取了公司内部多个项目源代码
文章来源:安全圈
Mimecast 的新更新显示,SolarWinds 黑客访问了几个 " 有限的 " 源代码存储库。
据 SolarWinds 公司的最新消息,黑客入侵 Mimecast 网络,作为 SolarWinds 间谍活动的一部分,黑客窃取了这家安全公司的一些源代码库。
这家电子邮件安全公司最初报告称,一月份的证书泄露是 SolarWinds 供应链攻击的一部分,该攻击还袭击了 Microsoft,FireEye 和一些美国政府机构。
攻击者最初被发现窃取了 Mimecast 客户的电子邮件地址和其他联系信息,以及某些哈希和加盐的凭据。但是,在对 SolarWinds 黑客的最新调查中,Mimecast 表示,已经发现的证据表明攻击者也可以访问 " 数量有限 " 的源代码存储库。
但是,Mimecast 试图淡化本次攻击产生的影响,他们表示:
" 我们认为,攻击者下载的源代码不完整,不足以构建和运行 Mimecast 服务的任何方面。目前,我们还没有发现证据表明攻击者对我们的源代码进行了任何修改,也没有认为对我们的产品有任何影响。"
早在今年 1 月,微软就发现攻击者已经破坏了 Mimecast 拥有的证书,该证书用于验证 Mimecast 同步和恢复 ( 为各种邮件内容提供备份 ) 、连续性监视器 ( 监视电子邮件流量中断 ) 和微软 365 Exchange Web 服务的内部电子邮件保护 ( IEP ) 产品。
攻击者使用此证书连接了来自非 Mimecast IP 地址范围的客户的 Microsoft 365 租户的 "low single-digit number"。然后,攻击者利用 Mimecast 的 Windows 环境来提取位于美国和英国的客户的加密服务帐户凭据。
Mimecast 表示 :
" 这些凭据建立了从 Mimecast 租户到本地和云服务的连接,其中包括 LDAP,Azure Active Directory,Exchange Web 服务,POP3 日志和 SMTP 认证的传播路由 "
起初,Mimecast 表示,没有证据表明该攻击者访问了用户的电子邮件或档案内容。在周二的更新中,该安全公司重申了这一说法。然而,攻击者对源代码的访问可以让他们了解各种产品组件和其他敏感信息。除了 Mimecast 表示攻击者访问的源代码是 " 不完整的 " 之外,无法获得有关访问源代码类型的进一步信息,当通过 Threatpost 访问时,Mimecast 没有提供有关访问源代码的进一步信息。
目前,该公司表示,将通过在源代码树中实施其他安全分析措施,继续分析和监视其源代码以防止潜在地滥用。自攻击开始以来,Mimecast 已发布了新的证书连接,并建议受影响的客户切换到该连接;以及删除和阻止攻击者访问公司受影响部分(允许的网格环境)的方式。
后续攻击分析
SolarWinds 攻击者还从微软获取了源代码库,微软存储库包含以下代码:一小部分 Azure 组件,包括与服务、安全和身份相关的组件,一小部分 Intune 组件和一小部分 Exchange 组件。Microsoft Intune 通过云提供移动设备管理,移动应用程序管理和 PC 管理功能。使用 Intune,组织可以从几乎任何设备上的几乎任何位置为其员工提供对企业应用程序,数据和资源的访问,同时帮助保护企业信息的安全。
对 Mimecast 的最新攻击只是 SolarWinds 大范围攻击的最新事件,相信未来还有相关的后续攻击发生。
今年 1 月,美国的 FBI、NSA、网络安全与基础设施安全局 ( CISA ) 和国家情报总监办公室 ( ODNI ) 于联合声明称,SolarWinds 的黑客行为可能来自俄罗斯。
从去年春天开始,这个后门最初通过木马软件更新被传播到全球近 18000 个组织,包括备受瞩目的受害者,如美国国土安全部 ( DHS ) 、财政部和商务部。其他网络安全供应商,如 CrowdStrike、Fidelis、FireEye、Malwarebytes、Palo Alto Networks 和 Qualys 也成为了此次攻击的目标。
一旦嵌入,攻击者就能够挑选和选择进一步要攻击的组织。从那以后,还陆陆续续发现了几种恶意软件,这些恶意软件与 SolarWinds 黑客背后的攻击者有关。
该恶意软件家族包括:一个名为 GoldMax 的后门软件 ; 一个叫 Sibot 的两用恶意软件和一个叫 GoldFinder 的恶意软件。除了在这次行动中充当先锋的恶意软件 Sunburst 外,研究人员在 1 月份还揭露了另外一些被称为 Raindrop 和 Teardrop 的恶意软件,它们在最初的大规模 Sunburst 攻击后就被用于有针对性的攻击。
版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。祝愿每一位读者生活愉快!谢谢!
推荐阅读
*十五万个摄像头被黑客入侵,特斯拉工厂、医院、警察局被一览无遗
*《涉密信息系统集成资质管理办法》今天正式实施,这10条必须要知道