Еще в середине января 2021 года представители компании Mimecast предупреждали о том, что в распоряжении неизвестного хакера оказался один из ее цифровых сертификатов. Тогда злоумышленник злоупотребил им, чтобы получить доступ к некоторым учетным записям Microsoft 365 клиентов.
Скомпрометированный сертификат использовался несколькими продуктами компании (Mimecast Sync and Recover, Continuity Monitor и IEP) для подключения к инфраструктуре Microsoft. При этом сообщалось, что лишь 10% клиентов использовали вышеперечисленные продукты с этим сертификатом, а злоумышленник злоупотребил сертификатом, чтобы получить доступ всего к нескольким аккаунтам Microsoft 365. В компании утверждали, что число пострадавших клиентов низкое и «однозначное», и всех их уже уведомили об инциденте.
Позже выяснилось, что компрометация сертификата была напрямую связана с взломом компании SolarWinds, так как Mimecast использовала зараженную версию платформы Orion. Соответственно, сертификатом злоупотребляли те же хакеры, что взломали SolarWinds.
Как стало известно теперь, хакеры все же получили доступ и к другим частям внутренней сети Mimecast.
«Все скомпрометированные системы работали под управлением Windows и являлись периферийными по отношению к ядру нашей производственной клиентской инфраструктуры», — пишут в компании.
В Mimecast заявляют, что в итоге все скомпрометированные серверы были заменены «для устранения угрозы», а расследование не выявило доказательств того, что атакующие получили доступ к электронной почте или архивному контенту, который компания хранила на этих серверах для своих клиентов.
Однако злоумышленникам все же удалось добраться до репозитория, где размещался код Mimecast, откуда, как стало ясно теперь, были похищены некоторые исходники. В заявлении компании подчеркивается, что злоумышленники похитили только небольшие части кода, но не все проекты целиком.
«Мы полагаем, что исходный код, загруженный злоумышленником, был неполным и недостаточным для создания и запуска любого аспекта службы Mimecast. Мы не обнаружили доказательств того, что атакующий внес какие-либо изменения в наш исходный код, и не считаем, что это может оказать какое-то влияние на наши продукты», — говорят в компании.
Напомню, что ранее то же самое произошло и с компанией Microsoft. После компрометации SolarWinds у ИТ-гиганта были похищены исходные коды компонентов Azure, Intune и Exchange. Представители Microsoft так же заверили, что утечка никак не скажется на продуктах компании, а инцидент в целом не позволил хакерам получить широкий доступ к пользовательским данным.
Взлом SolarWinds стал одной из наиболее масштабных атак на цепочку поставок в историю.
Атаку на SolarWinds приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).
В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию SolarWinds и заразили ее платформу Orion малварью. Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а зараженная версия платформы была установлена примерно у 18 000 клиентов. В результате среди пострадавших оказались такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности.
