Еще в середине января 2021 года представители компании Mimecast предупреждали о том, что в распоряжении неизвестного хакера оказался один из ее цифровых сертификатов. Тогда злоумышленник злоупотребил им, чтобы получить доступ к некоторым учетным записям Microsoft 365 клиентов.

Скомпрометированный сертификат использовался несколькими продуктами компании (Mimecast Sync and Recover, Continuity Monitor и IEP) для подключения к инфраструктуре Microsoft. При этом сообщалось, что лишь 10% клиентов использовали вышеперечисленные продукты с этим сертификатом, а злоумышленник злоупотребил сертификатом, чтобы получить доступ всего к нескольким аккаунтам Microsoft 365. В компании утверждали, что число пострадавших клиентов низкое и «однозначное», и всех их уже уведомили об инциденте.

Позже выяснилось, что компрометация сертификата была  напрямую связана с взломом компании SolarWinds, так как Mimecast использовала зараженную версию платформы Orion. Соответственно, сертификатом злоупотребляли те же хакеры, что взломали SolarWinds.

Как стало известно теперь, хакеры все же получили доступ и к другим частям внутренней сети Mimecast.

«Все скомпрометированные системы работали под управлением Windows и являлись периферийными по отношению к ядру нашей производственной клиентской инфраструктуры», — пишут в компании.

В Mimecast заявляют, что в итоге все скомпрометированные серверы были заменены «для устранения угрозы», а расследование не выявило доказательств того, что атакующие получили доступ к электронной почте или архивному контенту, который компания хранила на этих серверах для своих клиентов.

Однако злоумышленникам все же удалось добраться до репозитория, где размещался код Mimecast, откуда, как стало ясно теперь, были похищены некоторые исходники. В заявлении компании подчеркивается, что  злоумышленники похитили только небольшие части кода, но не все проекты целиком.

«Мы полагаем, что исходный код, загруженный злоумышленником, был неполным и недостаточным для создания и запуска любого аспекта службы Mimecast. Мы не обнаружили доказательств того, что атакующий внес какие-либо изменения в наш исходный код, и не считаем, что это может оказать какое-то влияние на наши продукты», — говорят в компании.

Напомню, что ранее то же самое произошло и с компанией Microsoft. После компрометации SolarWinds у ИТ-гиганта были похищены исходные коды компонентов Azure, Intune и Exchange. Представители Microsoft так же заверили, что утечка никак не скажется на продуктах компании, а инцидент в целом не позволил хакерам получить широкий доступ к пользовательским данным.

Взлом SolarWinds стал одной из наиболее масштабных атак на цепочку поставок в историю.

Атаку на SolarWinds приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).

В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали ком­панию SolarWinds и зарази­ли ее платформу Orion мал­варью. Сог­ласно офи­циаль­ным дан­ным, среди 300 000 кли­ентов SolarWinds толь­ко 33 000 исполь­зовали Orion, а заражен­ная вер­сия платформы была уста­нов­лена при­мер­но у 18 000 кли­ентов. В результате среди пос­тра­дав­ших оказались такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп и Наци­ональ­ное управле­ние по ядер­ной безопас­ности.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии