Mimecast: SolarWinds-Angreifer stahlen Quellcode

Cyber Security News

Ein neues Mimecast-Update zeigt, dass die SolarWinds-Hacker auf mehrere “begrenzte” Quellcode-Repositories zugegriffen haben.

Hacker, die im Rahmen der SolarWinds-Spionagekampagne in Mimecast-Netzwerke eingedrungen sind, haben laut einem Update des Unternehmens einige Quellcode-Repositories der Sicherheitsfirma mitgehen lassen.

Die E-Mail-Sicherheitsfirma berichtete zunächst, dass eine Zertifikatskompromittierung im Januar Teil des ausgedehnten SolarWinds-Lieferkettenangriffs war, der auch Microsoft, FireEye und mehrere US-Regierungsbehörden traf.

Es wurde festgestellt, dass die Angreifer zunächst eine Teilmenge der E-Mail-Adressen und anderer Kontaktinformationen von Mimecast-Kunden sowie bestimmte gehashte und gesalzene Anmeldedaten gestohlen hatten. Im jüngsten Teil der Untersuchung des SolarWinds-Hacks gab Mimecast jedoch an, Beweise dafür gefunden zu haben, dass auch auf eine “begrenzte” Anzahl von Quellcode-Repositories zugegriffen wurde.

Der Sicherheitsanbieter versuchte jedoch, die Auswirkungen dieses Zugriffs herunterzuspielen: “Wir glauben, dass der vom Bedrohungsakteur heruntergeladene Quellcode unvollständig war und nicht ausreicht, um irgendeinen Aspekt des Mimecast-Dienstes zu bauen und auszuführen”, hieß es in einem Update am Dienstag. “Wir haben keine Beweise dafür gefunden, dass der Bedrohungsakteur Modifikationen an unserem Quellcode vorgenommen hat, und wir glauben auch nicht, dass es irgendwelche Auswirkungen auf unsere Produkte gab.”

Update zur Mimecast-Untersuchung

Im Januar entdeckte Microsoft, dass Angreifer ein Mimecast-eigenes Zertifikat kompromittiert hatten, das zur Authentifizierung von Mimecast Sync and Recover (das Backups für verschiedene E-Mail-Inhalte bereitstellt), Continuity Monitor (das den E-Mail-Verkehr auf Unterbrechungen überwacht) und Internal Email Protect (IEP)-Produkten an Microsoft 365 Exchange Web Services verwendet wurde.

Der Bedrohungsakteur nutzte dieses Zertifikat, um sich mit einer “niedrigen einstelligen Zahl” von Microsoft 365-Tenants von Kunden aus Nicht-Mimecast-IP-Adressbereichen zu verbinden. Die Angreifer nutzten dann die Windows-Umgebung von Mimecast, um potenziell die verschlüsselten Anmeldedaten von Kundenkonten zu extrahieren, die in den Vereinigten Staaten und Großbritannien gehostet werden.

“Diese Anmeldeinformationen stellen Verbindungen von Mimecast-Mietern zu On-Premise- und Cloud-Diensten her, zu denen LDAP, Azure Active Directory, Exchange Web Services, POP3-Journaling und SMTP-authentifizierte Zustellrouten gehören”, so Mimecast.

Zunächst hatte Mimecast erklärt, es gebe keine Beweise dafür, dass der Bedrohungsakteur auf die E-Mails oder Archivinhalte der Kunden zugegriffen habe – in seinem Update vom Dienstag bekräftigte das Sicherheitsunternehmen diese Behauptung. Allerdings könnte der Zugriff der Angreifer auf den Quellcode ihnen einen Einblick in verschiedene Produktkomponenten und andere sensible Informationen geben. Weitere Informationen über die Art des Quellcodes, auf den zugegriffen wurde, sind nicht verfügbar, außer dass Mimecast sagte, dass der Quellcode, auf den die Angreifer zugegriffen haben, “unvollständig” war; Mimecast gab keine weiteren Informationen über den zugegriffenen Quellcode, als es von Threatpost erreicht wurde.

Das Unternehmen sagte, dass es seinen Quellcode weiterhin analysieren und überwachen wird (durch die Implementierung zusätzlicher Maßnahmen zur Sicherheitsanalyse im gesamten Quellcode-Baum), um sich gegen möglichen Missbrauch zu schützen. Seit Beginn des Angriffs hat Mimecast eine neue Zertifikatsverbindung ausgestellt und den betroffenen Kunden geraten, auf diese Verbindung umzusteigen; außerdem wurden die Zugriffsmöglichkeiten des Bedrohungsakteurs auf das betroffene Segment des Unternehmens (seine Produktionsnetzumgebung) entfernt und gesperrt.

SolarWinds-Hack: Konsequenzen werden weiter ausgespielt

SolarWinds-Angreifer haben auch Quellcode-Repositories von Microsoft erbeutet. Die Microsoft-Repositories enthielten Code für: Eine kleine Teilmenge von Azure-Komponenten, einschließlich solcher, die sich auf Dienst, Sicherheit und Identität beziehen; eine kleine Teilmenge von Intune-Komponenten; und eine kleine Teilmenge von Exchange-Komponenten.

Das Update von Mimecast ist nur der jüngste Teil des groß angelegten SolarWinds-Hacks. Das in Texas ansässige Unternehmen SolarWinds war das Hauptopfer des mittlerweile berühmten Cyberangriffs, der vermutlich von russischen, staatlich gesponserten Akteuren durchgeführt wurde. Während des Angriffs nutzten die Angreifer die Orion-Netzwerkmanagement-Plattform von SolarWinds, um Benutzer mit einer Backdoor namens “Sunburst” zu infizieren, die den Weg für laterale Bewegungen zu anderen Teilen des Netzwerks ebnete.

Diese Backdoor wurde zunächst über trojanisierte Produkt-Updates an fast 18.000 Organisationen rund um den Globus verteilt – darunter so prominente Opfer wie das US-Ministerium für Heimatschutz (DHS) und die Finanz- und Handelsministerien – und begann im letzten Frühjahr. Andere Anbieter von Cybersicherheitsprodukten – wie CrowdStrike, Fidelis, FireEye, Malwarebytes, Palo Alto Networks und Qualys – waren ebenfalls Ziel des Angriffs.

Einmal eingebettet, konnten die Angreifer auswählen, in welche Organisationen sie weiter eindringen wollten.

Seitdem wurden auch mehrere Malware-Stämme entdeckt, die mit den Angreifern hinter dem SolarWinds-Hack in Verbindung gebracht werden. Zu den Malware-Familien gehören: Eine Backdoor namens GoldMax; eine Dual-Purpose-Malware namens Sibot und eine Malware namens GoldFinder. Zusätzlich zu Sunburst, der Malware, die als Speerspitze der Kampagne verwendet wurde, haben Forscher im Januar weitere Malware mit den Namen Raindrop und Teardrop enttarnt, die in gezielten Angriffen nach der anfänglichen Massenkompromittierung von Sunburst eingesetzt wurden.

Weitere Informationen: SolarWinds-Hack möglicherweise mit Turla APT verbunden SolarWinds stellt Chris Krebs und Alex Stamos nach dem Angriff ein Microsoft ist in SolarWinds Spionagebemühungen verwickelt und schließt sich Bundesbehörden an Sunbursts C2-Geheimnisse enthüllen SolarWinds-Opfer der zweiten Stufe Nuklearwaffen-Agentur in ausgedehnter Cyberattacke gehackt Der SolarWinds Perfect Storm: Standard-Passwort, Access Sales und mehr DHS unter den Opfern eines ausgeklügelten Cyberangriffs durch ausländische Angreifer FireEye Cyberangriff kompromittiert Red-Team-Sicherheitstools

Einige Teile dieses Artikels stammen aus:
threatpost.com