Как и ожидалось, список компаний, пострадавших в результате компрометации SolarWinds, продолжает пополняться новыми именами. Выяснилось, что нашумевшая атака на цепочку поставок затронула компании Mimecast, Palo Alto Networks, Qualys и Fidelis Cybersecurity.
Напомню, что атаку на SolarWinds приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).
В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию SolarWinds и заразили ее платформу Orion малварью. Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а зараженная версия платформы была установлена примерно у 18 000 клиентов. В результате среди пострадавших оказались такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности.
Mimecast
В середине января 2021 года представители Mimecast уже предупреждали о том, что в распоряжении неизвестного хакера оказался один из ее цифровых сертификатов. Злоумышленник злоупотребил им, чтобы получить доступ к некоторым учетным записям Microsoft 365 клиентов.
Скомпрометированный сертификат использовался несколькими продуктами компании (Mimecast Sync and Recover, Continuity Monitor и IEP) для подключения к инфраструктуре Microsoft. При этом известно, что порядка 10% клиентов компании использовали вышеперечисленные продукты с этим сертификатом, однако злоумышленник злоупотребил сертификатом, чтобы получить доступ лишь к нескольким аккаунтам Microsoft 365. В компании утверждали, что число пострадавших клиентов низкое и «однозначное», и всех их уже уведомили об инциденте.
Как выяснилось теперь, компрометация сертификата была напрямую связана с взломом SolarWinds, так как Mimecast использовала зараженную версию Orion. Соответственно, сертификат компании использовали те же хакеры, что взломали SolarWinds.
Palo Alto Networks
Представители Palo Alto Networks сообщили журналисту Forbes, что в сентябре и октябре 2020 года в компании произошло сразу два инцидента, связанных с программным обеспечением SolarWinds.
«Наш SOC немедленно изолировал [проблемный] сервер, инициировал расследование и в итоге подтвердил, что наша инфраструктура безопасна», — рассказывают в компании.
Также в Palo Alto Networks заявили, что расследовали эти случаи, как отдельные, несвязанные друг с другом инциденты. В итоге расследования не принесли почти никаких результатов, а специалисты пришли к выводу, что «попытка атаки была неудачной и никакие данные не были скомпрометированы».
Qualys
В той же статье Forbes упоминается отчет специалистов компании Netresec, опубликованный в начале текущей недели. В нем исследователи сообщают, что обнаружили 23 новых домена, которые взломщики SolarWinds использовали для развертывания пейлоадов второго уровня в сетях жертв.
Два домена располагались на corp.qualys.com, что свидетельствовало о том, что гигант ИБ-аудита, компания Qualys тоже мог стать жертвой злоумышленников.
Однако в ходе беседы с журналистами Forbes, специалисты Qualys заявили, что инженеры компании установили зараженную версию Orion в лабораторной среде, изолированной от основной сети, исключительно с целью проведения тестов. То есть утверждается, что компания не была скомпрометирована.
Fidelis Cybersecurity
Еще одной крупной жертвой взлома SolarWinds стала компания Fidelis Cybersecurity. О компрометации в блоге компании сообщил ее глава Крис Кубич (Chris Kubic).
Как оказалось, в мае 2020 года Fidelis Cybersecurity тоже установила зараженную версию Orion для проведения экспертной оценки.
«Установку данного ПО удалось проследить до конкретной машины, настроенной как тестовая система, изолированной от нашей базовой сети и включаемой крайне редко», — пишет Кубич.
Хотя злоумышленники попытались расширить свой доступ во внутреннюю сеть компании, эксперты считают, что тестовая система была «достаточно изолирована и слишком редко включалась, чтобы злоумышленники могли перейти к следующему этапу атаки».
