Microsoft hovorí, že hackeri SolarWinds získali prístup k niektorým z jeho zdrojových kódov

Spoločnosť Microsoft vo štvrtok odhalila, že aktéri hrozieb stojaci za útokom na dodávateľský reťazec SolarWinds dokázali získať prístup k malému počtu interných účtov a eskalovať prístup v rámci svojej internej siete.

“Veľmi sofistikovaný aktér národného štátu” použil neoprávnený prístup na zobrazenie, ale nie na úpravu zdrojového kódu prítomného v jeho úložiskách, uviedla spoločnosť.

“Zistili sme neobvyklú aktivitu s malým počtom interných účtov a po kontrole sme zistili, že jeden účet bol použitý na zobrazenie zdrojového kódu v niekoľkých úložiskách zdrojového kódu,” Windows výrobca zverejnený v aktualizácii.

“Účet nemal povolenia na úpravu akéhokoľvek kódu alebo inžinierskych systémov a naše vyšetrovanie ďalej potvrdilo, že neboli vykonané žiadne zmeny. Tieto účty boli prešetrené a opravené.”

Tento vývoj je najnovším v ďalekosiahlej špionážnej ságe, ktorá vyšla najavo začiatkom decembra po odhalení firmy FireEye pre kybernetickú bezpečnosť, že útočníci kompromitovali jej systémy prostredníctvom trojanizovanej aktualizácie SolarWinds, aby ukradli jej nástroje na testovanie prieniku Red Team.

V priebehu vyšetrovania hacknutia Microsoft predtým priznal, že vo svojom vlastnom prostredí odhalil škodlivé binárne súbory SolarWinds, ale poprel, že jeho systémy boli použité na zacielenie na iných alebo že by útočníci mali prístup k produkčným službám alebo zákazníckym údajom.

Niekoľko ďalších spoločností, vrátane Cisco, VMware, Intel, NVIDIA a mnohých ďalších vládnych agentúr USA, odvtedy objavilo markery malvéru Sunburst (alebo Solorigate) vo svojich sieťach, ktoré boli zasadené prostredníctvom pokazených aktualizácií Orion.

Spoločnosť so sídlom v Redmonde uviedla, že jej vyšetrovanie stále prebieha, ale incident bagatelizovala a dodala, že „prezeranie zdrojového kódu nie je viazané na zvýšenie rizika“ a že našla dôkazy o pokusoch o aktivity, ktoré boli neutralizované jej ochranou.

V samostatnej analýze zverejnenej spoločnosťou Microsoft 28. decembra spoločnosť nazvala útok „kompromisom medzi doménami“, ktorý umožnil protivníkovi zaviesť škodlivý kód do podpísaných binárnych súborov platformy SolarWinds Orion a využiť túto rozšírenú základňu na pokračovanie nezistenej prevádzky a prístup k cieľovým súborom. cloudových zdrojov, čo vyvrcholí exfiltráciou citlivých údajov.

Softvér Orion spoločnosti SolarWinds však nebol jediným počiatočným vektorom infekcie, pretože americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) uviedla, že útočníci použili aj iné metódy, ktoré ešte neboli zverejnené.

Agentúra tiež vydala doplňujúce usmernenia, ktoré vyzývajú všetky americké federálne agentúry, ktoré stále používajú softvér SolarWinds Orion, aby aktualizovali na najnovšiu verziu do roku 2020.2.1 Verzia HF2.

“Národný bezpečnostný úrad (NSA) túto verziu preskúmal a overil, že eliminuje predtým identifikovaný škodlivý kód,” uviedla agentúra.