Diario Informe

Los piratas informáticos de SolarWinds utilizaron el malware Sunburst para la intrusión inicial

Mimecast: los piratas informáticos de SolarWinds utilizaron el malware Sunburst para la intrusión inicial

La firma de seguridad de correo electrónico Mimecast confirmó hoy que los piratas informáticos de SolarWinds patrocinados por el estado que violaron su red a principios de este año utilizaron la puerta trasera Sunburst durante la intrusión inicial.

Sunburst es un malware distribuido por piratas informáticos de SolarWinds a aproximadamente 18.000 clientes de SolarWinds que utilizan el mecanismo de actualización automático comprometido de la plataforma de supervisión de TI SolarWinds Orion.

Índice de contenidos
  1. Código fuente incompleto descargado durante el ataque
  2. Acciones correctivas
  3. Hackers de SolarWinds

Código fuente incompleto descargado durante el ataque

"Usando este punto de entrada, el actor de amenazas tuvo acceso a ciertos certificados emitidos por Mimecast e información relacionada con la conexión del servidor del cliente", explicó Mimecast en un reporte de accidente lanzado hoy.

"El actor de la amenaza también tuvo acceso a un subconjunto de direcciones de correo electrónico y otra información de contacto, así como credenciales cifradas y / o hash y saladas.

"Además, el actor de amenazas accedió y descargó un número limitado de nuestros repositorios de código fuente, pero no encontramos evidencia de cambios en nuestro código fuente ni creemos que haya habido ningún impacto en nuestros productos".

La compañía cree que el código fuente exfiltrado por los atacantes está incompleto e insuficiente para desarrollar una versión funcional del servicio Mimecast.

"No creemos que el actor de la amenaza haya realizado ningún cambio en nuestro código fuente", agregó la compañía. "El análisis forense de todo el software Mimecast distribuido por el cliente confirmó que el proceso de construcción de los ejecutables distribuidos por Mimecast no fue alterado".

Los piratas informáticos de SolarWinds solo apuntaron a una pequeña cantidad de un solo dígito de inquilinos de clientes de Microsoft 365 después de que robaron un certificado emitido por Microsoft utilizado para proteger las actividades del servidor de sincronización en la nube de Microsoft 365, reveló inicialmente la compañía en enero.

Si bien Mimecast no reveló el número exacto de clientes que usaron el certificado robado, la compañía dijo que alrededor del 10% de los clientes "usan esta conexión".

Los productos Mimecast son utilizados por más de 36.000 clientes, de los cuales el 10% equivale a aproximadamente 3.600 clientes potenciales interesados.

Nuestra investigación reveló actividad sospechosa dentro de un segmento de nuestro entorno de red de producción que contiene una pequeña cantidad de servidores Windows. El movimiento lateral desde el punto de entrada inicial a estos servidores es consistente con el mecanismo descrito por Microsoft y otras organizaciones que han documentado el modelo de ataque de este actor de amenazas. Determinamos que el actor de la amenaza aprovechó nuestro entorno de Windows para consultar y potencialmente extraer ciertas credenciales de cuentas de servicio encriptadas creadas por clientes alojados en los EE. UU. Y el Reino Unido. Estas credenciales establecen conexiones desde los inquilinos de Mimecast a los servicios locales y en la nube, que incluyen LDAP, Azure Active Directory, Exchange Web Services, registro en diario de POP3 y rutas de entrega autenticadas por SMTP. No tenemos pruebas de que el actor de la amenaza haya accedido al correo electrónico o al contenido archivado que tenemos en nombre de nuestros clientes. - Mimecast

Durante la investigación, Mimecast descubrió métodos de acceso adicionales establecidos por piratas informáticos de SolarWinds para mantener el acceso a los sistemas Windows comprometidos en el entorno de red de producción de la empresa.

Después de completar la investigación del incidente con los expertos forenses de Mandiant, Mimecast afirma que ha cortado con éxito el acceso de los actores de amenazas a su entorno.

No se encontró evidencia de ningún correo electrónico o contenido de archivo al que los piratas informáticos accedieron durante el ataque.

Acciones correctivas

Mimecast restablece todas las "credenciales hash y saladas" después de advertir a los clientes alojados en los EE. UU. Y el Reino Unido que restablezcan las credenciales de conexión del servidor que utilizan en la plataforma Mimecast.

La compañía de seguridad de correo electrónico está trabajando en un nuevo mecanismo de autenticación basado en OAuth para conectar las plataformas de servicio de Mimecast y Microsoft para asegurar aún más las conexiones al servidor Mimecast.

Mimecast también tomó varias medidas correctivas adicionales después de la violación de seguridad:

  • Se han rotado todos los certificados y claves de cifrado afectados.
  • Algoritmo de cifrado mejorado actualizado para todas las credenciales almacenadas.
  • Se implementó un monitoreo avanzado de todos los certificados almacenados y claves de cifrado.
  • Implemente capacidades adicionales de monitoreo de seguridad del host en toda nuestra infraestructura.
  • SolarWinds Orion se descontinuó y se reemplazó con un sistema de monitoreo NetFlow alternativo.
  • Todas las credenciales administrativas, del sistema y de los empleados para Mimecast se rotaron y se extendió la autenticación de dos factores basada en hardware para el acceso de los empleados a los sistemas de producción.
  • Reemplazó completamente todos los servidores comprometidos.
  • Inspeccionó y verificó nuestros sistemas de compilación y automatización para confirmar que los ejecutables distribuidos por Mimecast no fueron manipulados.
  • Implementación de análisis estáticos y de seguridad adicionales en todo el árbol del código fuente.

Hackers de SolarWinds

El actor de amenazas detrás de los ataques a la cadena de suministro de SolarWinds se monitorea como UNC2452 (FireEye), StellarParticle (CrowdStrike), Tormenta solar (Unidad 42 de Palo Alto), Hola oscura (Volexity) y Nobelium (Microsoft).

Aunque su identidad sigue siendo desconocida, una declaración conjunta emitida por el FBI, CISA, ODNI y NSA afirma que es probable que sea un grupo de Amenazas Persistentes Avanzadas (APT) respaldado por Rusia.

Cuando Mimecast reveló la violación, la firma de ciberseguridad Malwarebytes también confirmó que los piratas informáticos de SolarWinds podían acceder a algunos correos electrónicos corporativos internos.

Microsoft también dijo en febrero que los piratas informáticos de SolarWinds descargaron el código fuente para un número limitado de componentes de Azure, Intune y Exchange.

Hace dos semanas, SolarWinds reveló aproximadamente $ 3.5 millones en gastos hasta diciembre de 2020 desde el ataque a la cadena de suministro del año pasado. Sin embargo, se esperan altos costos adicionales durante los períodos financieros posteriores.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings