https://metrika.yandex.ru/dashboard?id=69437956

Атака затронула компании Mimecast, Palo Alto Networks, Qualys и Fidelis Cybersecurity.


Как и ожидалось, список компаний, пострадавших в результате компрометации SolarWinds, продолжает пополняться новыми именами. Выяснилось, что нашумевшая атака на цепочку поставок затронула компании Mimecast, Palo Alto Networks, Qualys и Fidelis Cybersecurity.


Напомню, что атаку на SolarWinds приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).


В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали ком­панию SolarWinds и зарази­ли ее платформу Orion мал­варью. Сог­ласно офи­циаль­ным дан­ным, среди 300 000 кли­ентов SolarWinds толь­ко 33 000 исполь­зовали Orion, а заражен­ная вер­сия платформы была уста­нов­лена при­мер­но у 18 000 кли­ентов. В результате среди пос­тра­дав­ших оказались такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп и Наци­ональ­ное управле­ние по ядер­ной безопас­ности.


Mimecast

В середине января 2021 года представители Mimecast уже предупреждали о том, что в распоряжении неизвестного хакера оказался один из ее цифровых сертификатов. Злоумышленник злоупотребил им, чтобы получить доступ к некоторым учетным записям Microsoft 365 клиентов.


Скомпрометированный сертификат использовался несколькими продуктами компании (Mimecast Sync and Recover, Continuity Monitor и IEP) для подключения к инфраструктуре Microsoft. При этом известно, что порядка 10% клиентов компании использовали вышеперечисленные продукты с этим сертификатом, однако злоумышленник злоупотребил сертификатом, чтобы получить доступ лишь к нескольким аккаунтам Microsoft 365. В компании утверждали, что число пострадавших клиентов низкое и «однозначное», и всех их уже уведомили об инциденте.


Как выяснилось теперь, компрометация сертификата была напрямую связана с взломом SolarWinds, так как Mimecast использовала зараженную версию Orion. Соответственно, сертификат компании использовали те же хакеры, что взломали SolarWinds.


Palo Alto Networks

Представители Palo Alto Networks сообщили журналисту Forbes, что в сентябре и октябре 2020 года в компании произошло сразу два инцидента, связанных с программным обеспечением SolarWinds.


«Наш SOC немедленно изолировал [проблемный] сервер, инициировал расследование и в итоге подтвердил, что наша инфраструктура безопасна», — рассказывают в компании.


Также в Palo Alto Networks заявили, что расследовали эти случаи, как отдельные, несвязанные друг с другом инциденты. В итоге расследования не принесли почти никаких результатов, а специалисты пришли к выводу, что «попытка атаки была неудачной и никакие данные не были скомпрометированы».


Qualys

В той же статье Forbes упоминается отчет специалистов компании Netresec, опубликованный в начале текущей недели. В нем исследователи сообщают, что обнаружили 23 новых домена, которые взломщики SolarWinds использовали для развертывания пейлоадов второго уровня в сетях жертв.


Два домена располагались на corp.qualys.com, что свидетельствовало о том, что гигант ИБ-аудита, компания Qualys тоже мог стать жертвой злоумышленников.


Однако в ходе беседы с журналистами Forbes, специалисты Qualys заявили, что инженеры компании установили зараженную версию Orion в лабораторной среде, изолированной от основной сети, исключительно с целью проведения тестов. То есть утверждается, что компания не была скомпрометирована.


Fidelis Cybersecurity

Еще одной крупной жертвой взлома SolarWinds стала компания Fidelis Cybersecurity. О компрометации в блоге компании сообщил ее глава Крис Кубич (Chris Kubic).


Как оказалось, в мае 2020 года Fidelis Cybersecurity тоже установила зараженную версию Orion для проведения экспертной оценки.


«Установку данного ПО удалось проследить до конкретной машины, настроенной как тестовая система, изолированной от нашей базовой сети и включаемой крайне редко», — пишет Кубич.


Хотя злоумышленники попытались расширить свой доступ во внутреннюю сеть компании, эксперты считают, что тестовая система была «достаточно изолирована и слишком редко включалась, чтобы злоумышленники могли перейти к следующему этапу атаки».

© 2019 Твой хакер hakinfo.com                                  hakinfo@bk.ru