Mimecast findet heraus, dass SolarWinds-Hacker einen Teil des Quellcodes gestohlen haben

Cyber Security News

Die E-Mail-Sicherheitsfirma Mimecast hat am Dienstag aufgedeckt, dass die staatlich gesponserten SolarWinds-Hacker, die in ihr internes Netzwerk einbrachen, auch Quellcode aus einer begrenzten Anzahl von Repositories heruntergeladen haben.

“Der Bedrohungsakteur hat auf eine Untergruppe von E-Mail-Adressen und andere Kontaktinformationen sowie gehashte und gesalzene Anmeldeinformationen zugegriffen”, sagte das Unternehmen in einem Schreiben, das seine Untersuchung detailliert beschreibt, und fügte hinzu, dass der Angreifer “auf eine begrenzte Anzahl unserer Quellcode-Repositories zugegriffen und diese heruntergeladen hat, wie es der Bedrohungsakteur Berichten zufolge auch bei anderen Opfern des SolarWinds Orion-Lieferkettenangriffs getan hat.”

Mimecast sagte jedoch, dass der von den Angreifern heruntergeladene Quellcode unvollständig war und nicht ausreichte, um irgendeinen Aspekt des Mimecast-Dienstes zu erstellen und auszuführen, und dass es keine Anzeichen für eine Manipulation des Build-Prozesses durch den Bedrohungsakteur gefunden hat, der mit den ausführbaren Dateien verbunden ist, die an seine Kunden verteilt werden.

Am 12. Januar gab Mimecast bekannt, dass “ein raffinierter Bedrohungsakteur” ein digitales Zertifikat kompromittiert hatte, das es bestimmten Kunden zur Verfügung stellte, um seine Produkte sicher mit Microsoft 365 (M365) Exchange zu verbinden.

Wochen später brachte das Unternehmen den Vorfall mit der SolarWinds-Massenexploitation-Kampagne in Verbindung und wies darauf hin, dass der Bedrohungsakteur auf bestimmte verschlüsselte Zugangsdaten für Dienstkonten von Kunden in den USA und Großbritannien zugegriffen und diese möglicherweise exfiltriert hat.

Das Unternehmen stellte fest, dass das Eindringen auf eine Sunburst-Backdoor zurückzuführen ist, die über trojanisierte SolarWinds Orion-Software-Updates bereitgestellt wurde, und sagte, dass es eine seitliche Bewegung vom ursprünglichen Zugriffspunkt zu seiner Produktionsnetzumgebung mit einer kleinen Anzahl von Windows-Servern in einer Weise beobachtet hat, die mit dem Angriffsmuster übereinstimmt, das dem Bedrohungsakteur zugeschrieben wird.

Obwohl die genaue Anzahl der Kunden, die das gestohlene Zertifikat verwendet haben, unbekannt bleibt, sagte das Unternehmen im Januar, dass “eine niedrige einstellige Anzahl von M365-Mietern unserer Kunden betroffen war.”

Der Bedrohungsakteur, der hinter den Angriffen auf die Lieferkette von SolarWinds stecken soll, wird unter mehreren Namen verfolgt, darunter UNC2452 (FireEye), Dark Halo (Volexity), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) und Nobelium (Microsoft).

Mimecast, das Mandiant mit der Leitung seiner Incident-Response-Bemühungen beauftragt hatte, sagte, es habe die Untersuchung Anfang dieses Monats abgeschlossen.

Als Teil einer Reihe von Gegenmaßnahmen stellte das Unternehmen außerdem fest, dass es die kompromittierten Windows-Server vollständig ausgetauscht, die Stärke der Verschlüsselungsalgorithmen für alle gespeicherten Anmeldeinformationen erhöht, eine verbesserte Überwachung aller gespeicherten Zertifikate und Verschlüsselungsschlüssel implementiert und SolarWinds Orion zugunsten eines NetFlow-Überwachungssystems außer Betrieb genommen hat.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com