Хакеры крадут сертификат Mimecast, используемый для шифрования трафика M365 клиентов. Поставщик управления электронной почтой Mimecast подтвердил, что сетевое вторжение, используемое для слежки за его клиентами, было совершено теми же опытными хакерами за атаку на цепочку поставок SolarWinds.
Хакеры, которые, по утверждениям американских спецслужб, имеют российское происхождение, использовали бэкдор-обновление для программного обеспечения SolarWinds Orion для нацеливания на небольшое количество клиентов Mimecast. Используя вредоносную программу Sunburst, проникшую в обновление, злоумышленники сначала получили доступ к части производственной сети Mimecast. Затем они получили доступ к сертификату, выпущенному Mimecast, который некоторые клиенты используют для аутентификации различных веб-служб Microsoft 365 Exchange.
Подключение к Microsoft 365
Работа с Microsoft, которая первой обнаружила нарушение и сообщила о нем. Как сообщает Mimecast, исследователи компании обнаружили, что злоумышленники затем использовали сертификат для «подключения к небольшому однозначному числу клиентов M365 наших общих клиентов из диапазонов IP-адресов, не поддерживающих Mimecast».
Хакеры также получал доступ к адресам электронной почты, контактной информации и «зашифрованным и/или хешированным учетным данным». Также было загружено ограниченное количество репозиториев исходного кода, но Mimecast сказал, что нет никаких свидетельств изменений или влияния на продукты компании. Далее компания заявила, что нет никаких доказательств того, что хакеры получили доступ к электронной почте или архивному контенту, который Mimecast хранит от имени своих клиентов.
В сообщении, опубликованном во вторник, официальные лица Mimecast написали:
Хотя доказательства показали, что этот сертификат использовался только для небольшого числа клиентов, мы быстро сформулировали план по снижению потенциального риска для всех клиентов, которые использовали этот сертификат. Мы сделали доступным новое соединение с сертификатом и посоветовали этим клиентам и соответствующим партнерам по поддержке посредством электронной почты, уведомлений в приложении и исходящих звонков принять меры предосторожности при переключении на новое соединение. В нашем общедоступном блоге была освещена эта стадия инцидента.Мы согласовали с Microsoft, что не было дальнейшего несанкционированного использования скомпрометированного сертификата Mimecast, и работали с нашими клиентами и партнерами над переходом на новый сертификат подключения. После того, как большинство наших клиентов внедрили новое соединение с сертификатом, Microsoft отключила скомпрометированный сертификат по нашему запросу.
Дополнительная информация
Российские хакеры нанесли удар по правительству США, используя широкомасштабную атаку на цепочку поставок. Атака на цепочку поставок SolarWinds была обнаружена в декабре. Злоумышленники осуществили это, заразив систему сборки и распространения программного обеспечения компании в Остине, штат Техас, и использовали ее для распространения обновления, которое было загружено и установлено 18 000 клиентов SolarWinds.
Mimecast был одним из немногих из них. клиенты, получившие последующее вредоносное ПО, которое позволило злоумышленникам глубже проникнуть в зараженные сети и получить доступ к конкретному интересующему их контенту. Представители Белого дома заявили, что по крайней мере девять федеральных агентств и 100 частных компаний пострадали от атаки, которая оставалась незамеченной в течение нескольких месяцев.
Взлом сертификатов позволяет хакерам читать и изменять зашифрованные данные, когда они передаются через Интернет. . Чтобы это произошло, хакер должен сначала получить возможность отслеживать входящие и исходящие соединения в сети цели. Как правило, для взлома сертификата требуется доступ к сильно защищенным устройствам хранения, на которых хранятся частные ключи шифрования. Такой доступ обычно требует взлома на глубоком уровне или внутреннего доступа.
Подчеркивая, насколько хирургическим была атака на цепочку поставок, Mimecast был среди небольшого процента клиентов SolarWinds, подвергшихся последующей атаке. В свою очередь, из нескольких тысяч клиентов Mimecast, которые, как предполагается, использовали скомпрометированный сертификат, на самом деле мишенью стали менее 10. Ограничение количества целей, получающих последующее вредоносное ПО, и запуск атак со стороны служб, расположенных в США, были двумя способами, которыми хакеры не допустили обнаружения своей деятельности.
Когда Mimecast впервые раскрыл компрометацию сертификата в январе , сходство с частями атаки SolarWinds породило предположения, что эти два события были связаны. Сообщение Mimecast во вторник — первое официальное подтверждение этой связи.
