В январе 2021 года стало известно, что ИБ-компания Malwarebytes пострадала от рук тех же хакеров, что атаковали компанию SolarWinds. При этом подчеркивалось, что Malwarebytes вообще не пользовалась продуктами SolarWinds, не устанавливала зараженную малварью версию Orion, а злоумышленники использовали «другой вектор вторжения», чтобы получить доступ к ее внутренним письмам.
Теперь Брэндон Уэльс (Brandon Wales), исполняющий обязанности главы Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), заявил, что в целом около трети компаний, атакованных этими хакерами, не имели прямого отношения к SolarWinds.
«[Хакеры] получали доступ к своим целям разными способами. Эти злоумышленники проявили изобретательность... Совершенно верно, что эту кампанию нельзя рассматривать как часть кампанию против SolarWinds», — говорит Уэльс.
Так, во многих случаях злоумышленники проникали в сети своих жертв, используя технику password spraying для взлома отдельных учетных записей электронной почты в целевых организациях. Проникнув в систему, хакеры применяли множество сложных атак, направленных на повышение привилегий и обход аутентификации в облачных сервисах Microsoft. К примеру, еще одна цель этих атак, компания CrowdStrike, заявила, что злоумышленник безуспешно пытался прочитать ее электронную почту, используя взломанный аккаунт реселлера Microsoft, с которым работала компания.
По данным The Wall Street Journal, специалисты SolarWinds в настоящее время изучают возможность того, что именно проблемы в продуктах Microsoft стали основным вектором проникновения злоумышленников в сеть компании. Хотя в декабре прошлого года представители Microsoft заявляли, что злоумышленники получили доступ к корпоративной сети компании и добрались до внутренних исходников, но не было обнаружено никаких признаков того, что системы Microsoft использовались для атак на другие компании и организации.
Напомню, что атаку на SolarWinds приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).
В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию SolarWinds и заразили ее платформу Orion малварью. Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а зараженная версия платформы была установлена примерно у 18 000 клиентов. В результате среди пострадавших оказались такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности.