Специалисты Microsoft сообщили, что завершили официальное расследование атаки, произошедшей в результате взлома SolarWinds. В компании еще раз подтвердили, что не обнаружили никаких доказательств того, что посторонние могли как-то злоупотребить системами Microsoft или использовать ее продукты для атак на клиентов.
Напомню, что факт компрометации Microsoft признала еще в декабре 2020 года, когда стало ясно, что компания использовала зараженные злоумышленниками версии платформы Orion, производства SolarWinds. Уже тогда сообщалось, что из-за этого хакеры могли получить доступ к некоторым исходным кодам.
«Наш анализ показывает, что первый просмотр файла в репозитории с исходными кодами датирован концом ноября, и [атака] закончилась, когда мы обезопасили пострадавшие учетные записи», — гласит финальный отчет.
Когда хакерам отключили доступ, они все равно продолжали предпринимать попытки входа в системы компании на протяжении всего декабря и даже в начале января 2021 года. То есть активность злоумышленников продолжалась даже спустя несколько недель после того, как о взломе SolarWinds стало известно, и даже после того, как Microsoft официально заявила, что занимается расследованием инцидента.
В компании уверяют, что хакеры не получили доступ ко всем репозиториям какого-либо отдельного продукта или сервиса, а также не добрались до основной массы исходных кодов. Вместо этого, по словам производителя, злоумышленники смогли просмотреть «только несколько отдельных файлов [...] в результате поиска в репозитории».
Причем, судя по поисковым запросам, взломщики не интересовались самими исходниками, но искали ключи API, учетные данные и токены, которые помогли бы им проникнуть в другие системы Microsoft. Однако эти попытки успехом не увенчались, так как политика разработки компании запрещает использование секретов в коде, и для этого проводятся регулярные автоматизированные проверки.
В конечном итоге злоумышленникам все же удалось похитить исходный код, но это были лишь исходники нескольких компонентов, связанных с облачными продуктами компании. Так, скомпрометированные репозитории содержали:
- небольшую часть компонентов Azure;
- небольшую часть компонентов Intune;
- небольшую часть компонентов Exchange.
Представители Microsoft резюмируют, что эта утечка никак не скажется на продуктах компании, а инцидент в целом не позволил хакерам получить широкий доступ к пользовательским данным.