Mimecast bestätigt den SolarWinds-Hack, während die Liste der Opfer von Sicherheitsanbietern immer länger wird

  • Eine wachsende Zahl von Cybersecurity-Anbietern wie CrowdStrike, Fidelis, FireEye, Malwarebytes, Palo Alto Networks und Qualys bestätigen, Ziel des Spionageangriffs zu sein.

    Die Kompromittierung des Mimecast-Zertifikats, über die Anfang Januar berichtet wurde, ist Teil des ausgedehnten Angriffs auf die Lieferkette von SolarWinds, wie das Sicherheitsunternehmen bestätigt hat.

    Mimecast schließt sich anderen Cybersecurity-Anbietern wie CrowdStrike, Fidelis, FireEye, Malwarebytes, Palo Alto Networks und Qualys an, die von dem Angriff betroffen sind.

    Ein von Mimecast ausgestelltes Zertifikat, das zur Authentifizierung einiger Produkte des Unternehmens bei Microsoft 365 Exchange Web Services verwendet wurde, wurde “von einem hochentwickelten Bedrohungsakteur kompromittiert”, gab das E-Mail-Schutzunternehmen Mitte Januar bekannt. Dies führte zu Spekulationen, dass die Sicherheitsverletzung mit SolarWinds zusammenhängt, was das Unternehmen diese Woche in einem Update bestätigte.

    “Unsere Untersuchung hat nun bestätigt, dass dieser Vorfall mit der Kompromittierung der SolarWinds Orion-Software zusammenhängt und von demselben raffinierten Bedrohungsakteur verübt wurde”, teilte das Unternehmen mit. “Es ist klar, dass dieser Vorfall Teil eines hochentwickelten groß angelegten Angriffs ist und sich auf bestimmte Arten von Informationen und Organisationen konzentriert.”

    Der Spionageangriff von SolarWinds, von dem mehrere US-Regierungsbehörden und viele andere betroffen waren, begann mit einem vergifteten Software-Update, das die Sunburst-Backdoor im vergangenen Frühjahr an rund 18.000 Organisationen lieferte. Nach diesem breit angelegten Angriff wählten die Bedrohungsakteure (von denen angenommen wird, dass sie Verbindungen nach Russland haben) bestimmte Ziele aus, um sie weiter zu infiltrieren, was sie im Laufe mehrerer Monate taten. Die Kompromittierungen wurden erstmals im Dezember entdeckt.

    Exfiltrierte Mimecast-Kundeninformationen

    Mimecast bietet E-Mail-Sicherheitsdienste an, die Kunden auf ihre Microsoft 365-Konten anwenden können, indem sie eine Verbindung zu den Servern von Mimecast herstellen. Das fragliche Zertifikat wurde verwendet, um die Verbindungen zu Mimecasts Sync and Recover (Backups für Postfach-Ordnerstruktur, Kalenderinhalte und Kontakte von Exchange On-Premises- oder Microsoft 365-Postfächern), Continuity Monitor (sucht nach Unterbrechungen im E-Mail-Verkehr) und Internal Email Protect (IEP) (prüft intern generierte E-Mails auf bösartige Links, Anhänge oder auf sensible Inhalte) zu verifizieren und zu authentifizieren.

    Eine Kompromittierung bedeutet, dass Cyberangreifer die Verbindung übernehmen könnten, über die ein- und ausgehende E-Mails fließen, so die Forscher. Es wäre möglich, diesen Datenverkehr abzufangen oder möglicherweise die Microsoft 365 Exchange Web Services der Kunden zu infiltrieren und Informationen zu stehlen. In diesem Fall wurden anscheinend Anmeldedaten entwendet.

    “Unsere Untersuchung hat auch gezeigt, dass der Bedrohungsakteur auf bestimmte verschlüsselte Service-Account-Anmeldeinformationen von Kunden, die in den Vereinigten Staaten und Großbritannien gehostet werden, zugegriffen und diese möglicherweise exfiltriert hat”, so das Unternehmen in seinem Update. “Diese Anmeldeinformationen stellen Verbindungen von Mimecast-Mietern zu On-Premise- und Cloud-Diensten her, zu denen LDAP, Azure Active Directory, Exchange Web Services, POP3-Journaling und SMTP-authentifizierte Zustellrouten gehören.”

    Weiter heißt es: “Obwohl uns nicht bekannt ist, dass irgendwelche der verschlüsselten Zugangsdaten entschlüsselt oder missbraucht wurden, raten wir Kunden, die in den Vereinigten Staaten und Großbritannien gehostet werden, vorsichtshalber Schritte zu unternehmen, um ihre Zugangsdaten zurückzusetzen.”

    Threatpost hat weitere Informationen angefordert, aber nicht sofort eine Antwort erhalten.

    Mimecast-Kunden Mitigations

    Mimecast wurde von Microsoft (selbst ein Opfer von SolarWinds) auf den Hack aufmerksam gemacht und hat die Verwendung des Zertifikats für Microsoft 365 deaktiviert.

    Mimecast hat außerdem ein neues Zertifikat ausgestellt und fordert die Benutzer auf, ihre Verbindungen mit der neuen Authentifizierung wiederherzustellen. Es sagte in dem Update, dass “die überwiegende Mehrheit dieser Kunden diese Maßnahme ergriffen hat.”

    Mimecast sagte, dass etwa 10 Prozent seiner Kunden die betroffenen Verbindungen nutzten. Das Unternehmen gibt auf seiner Website an, dass es rund 36.000 Kunden hat, so dass 3.600 potenziell gefährdet sein könnten. Das Unternehmen sagte weiter, dass von diesen “es Hinweise darauf gibt, dass eine niedrige einstellige Anzahl von Microsoft 365-Tenants unserer Kunden betroffen war. Wir haben diese Kunden bereits kontaktiert, um das Problem zu beheben.”

    Malwarebytes, CrowdStrike per E-Mail angegriffen

    In der Zwischenzeit hat Malwarebytes letzte Woche bestätigt, dass es ebenfalls ein Opfer der SolarWinds-Hacker ist – nur, dass es nicht über die SolarWinds-Plattform angegriffen wurde.

    “Obwohl Malwarebytes SolarWinds nicht nutzt, wurden wir, wie viele andere Unternehmen auch, kürzlich von demselben Bedrohungsakteur angegriffen”, teilte das Unternehmen am Dienstag in einem Web-Posting mit.

    Anstatt das Netzwerkmanagementsystem SolarWinds Orion zu nutzen, missbrauchte der Advanced Persistent Threat (APT) “Anwendungen mit privilegiertem Zugriff auf Microsoft Office 365- und Azure-Umgebungen”, so das Sicherheitsunternehmen – konkret eine E-Mail-Schutzanwendung. Es fand jedoch keine Datenexfiltration statt.

    In ähnlicher Weise erwischte CrowdStrike das Microsoft Azure-Konto eines Wiederverkäufers, das für die Verwaltung der Microsoft Office-Lizenzen von CrowdStrike verwendet wurde, bei anormalen Aufrufen von Microsoft Cloud-APIs.

    “Es gab einen Versuch, E-Mails zu lesen, der, wie von Microsoft bestätigt, fehlschlug”, sagte das Unternehmen in einem Blogpost im Dezember. “Als Teil unserer sicheren IT-Architektur nutzt CrowdStrike keine Office-365-E-Mails.”

    “Sie haben sich über den Zugang des Händlers Zugang verschafft und versucht, Mail-‘Lese’-Rechte zu aktivieren”, so eine Quelle gegenüber Reuters. “Wenn sie Office 365 für E-Mails verwendet hätten, wäre das Spiel vorbei gewesen.”

    Threatpost hat bei beiden Unternehmen nachgefragt, ob die E-Mail-Schutzanwendung Mimecast der Angriffsvektor war, aber keines der beiden Unternehmen antwortete sofort auf eine Anfrage nach einem Kommentar.

    Sicherheitsfirmen durch SolarWinds-Sturm geschädigt

    Mimecast schließt sich FireEye an und räumt tatsächliche Schäden durch den Angriff ein. FireEye gab im Dezember bekannt, dass das Unternehmen von einem Angriff betroffen war, den CEO Kevin Mandia als sehr gezielte Cyberattacke bezeichnete. Der Angreifer hatte es auf bestimmte Red-Team-Assessment-Tools abgesehen und konnte auf diese zugreifen, mit denen das Unternehmen die Sicherheit seiner Kunden testet.

    Das Unternehmen bestätigte bald, dass der Angriff Teil der Supply-Chain von SolarWinds war.

    Andere Firmen fallen in das Lager von Malwarebytes – sie bestätigen, dass sie angegriffen wurden, berichten aber, dass kein Schaden entstanden ist.

    “Qualys-Ingenieure haben das verwundbare/schädliche SolarWinds Orion-Tool in unserer Laborumgebung zu Testzwecken heruntergeladen, die vollständig von unserer Produktionsumgebung getrennt ist”, erklärte ein Sprecher diese Woche gegenüber Forbes. “Die eingehenden Untersuchungen von Qualys haben ergeben, dass es keine erfolgreiche Exfiltration von Daten gab, obwohl das Testsystem versucht hat, sich mit der zugehörigen Backdoor zu verbinden.”

    Fidelis gab unterdessen in einem Blog-Post diese Woche bekannt, dass es ebenfalls schlimme Folgen des Angriffs abwenden konnte.

    “Unsere derzeitige Überzeugung, die sich aufgrund zusätzlicher Informationen noch ändern kann, ist, dass die Test- und Evaluierungsmaschine, auf der diese Software installiert war, ausreichend isoliert war und zu selten hochgefahren wurde, als dass der Angreifer sie zur nächsten Stufe des Angriffs hätte mitnehmen können”, schrieb die Firma.

    Und Palo Alto Networks sagte auch, dass es in der Lage war, den Angriff intern zu blockieren.

    Nach dem vergifteten Update “hat unser Security Operation Center dann sofort den Server isoliert, eine Untersuchung eingeleitet und überprüft, dass unsere Infrastruktur sicher ist”, so Forbes. “Zusätzlich hat unser SOC zu diesem Zeitpunkt SolarWinds über die beobachtete Aktivität informiert. Die Untersuchung durch unser SOC ergab, dass der Angriffsversuch erfolglos war und keine Daten kompromittiert wurden.”

    Laut Ami Luttwak, CTO und Mitbegründer von Wiz, ist es wahrscheinlich, dass noch weitere Sicherheitsfirmen als Ziel von SolarWinds auftauchen werden.

    “Warum haben es die SolarWinds-Hacker auf Sicherheitsfirmen abgesehen? Wenn man das Puzzle zusammensetzt, wird es beängstigend”, sagte Luttwak per E-Mail. “Sie versuchen, die Bestie zu füttern, denn je mehr Macht sie haben, desto mehr Werkzeuge und Möglichkeiten haben sie, um mehr Unternehmen anzugreifen und auch deren Fähigkeiten zu bekommen. Wenn wir darüber nachdenken, wie das alles angefangen hat, waren sie hinter den FireEye-Tools her … es ist wie ein Spiel, sie greifen jeden an, der zusätzliche Fähigkeiten hat, die sie bekommen können.”

    Er fügte hinzu: “Was hat eine Firma wie Malwarebytes…? Nun… endlose Möglichkeiten. Auf jedem sensiblen Computer da draußen läuft ein Sicherheitsagent, die meisten von ihnen haben sogar ein Cloud-Portal, das es erlaubt, privilegierte Befehle direkt auf jedem Computer auszuführen.”

    Weitere Lektüre:

    • Malwarebytes von SolarWinds-Angreifern getroffen
    • SolarWinds Malware-Arsenal erweitert sich mit Raindrop
    • SolarWinds-Hack möglicherweise mit Turla APT verbunden
    • SolarWinds stellt Chris Krebs und Alex Stamos nach dem Angriff ein
    • Microsoft ist in SolarWinds Spionagebemühungen verwickelt und schließt sich Bundesbehörden an
    • Sunbursts C2-Geheimnisse enthüllen SolarWinds-Opfer der zweiten Stufe
    • Nuklearwaffen-Agentur in ausgedehnter Cyberattacke gehackt
    • Der SolarWinds Perfect Storm: Standard-Passwort, Access Sales und mehr
    • DHS unter den Opfern eines ausgeklügelten Cyberangriffs durch ausländische Angreifer
    • FireEye Cyberangriff kompromittiert Red-Team-Sicherheitstools

    Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook Healthcare Security Woes Balloon in a Covid-Era World, sponsored by ZeroNorth, herunter, um mehr darüber zu erfahren, was diese Sicherheitsrisiken für Krankenhäuser im Alltag bedeuten und wie Sicherheitsteams im Gesundheitswesen Best Practices implementieren können, um Anbieter und Patienten zu schützen. Holen Sie sich die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/01/11123538/solarwind.jpg]

    Einige Teile dieses Artikels stammen aus:
    threatpost.com