Microsoft подтверждает, что утечка SolarWinds затронула основные продукты
Microsoft подтвердила, что компания является жертвой взлома SolarWinds, поскольку предполагаемая атака на государство требует еще одного крупного скальпа.
В сообщении АНБ, выпущенном 17 декабря 2020 года, упоминались такие продукты Microsoft, как Azure и Active Directory, что позже подтвердил технологический гигант.
Microsoft становится жертвой взлома SolarWinds
В основе атаки Microsoft использовала SolarWinds Orion, программу удаленного управления. Некоторые публикации предполагали, что скомпрометированные продукты Microsoft, такие как Azure и Active Directory, затем использовались в качестве инструментов атаки против других жертв.
Однако президент Microsoft Брэд Смит выступил с заявлением, в котором отрицал, что их продукты были замешаны в атаке. Министерство внутренней безопасности также подтвердило опровержение. Полный текст заявления Брэда Смита можно прочитать в официальном блоге Microsoft .
Как и другие клиенты SolarWinds, мы активно ищем индикаторы этого актера и можем подтвердить, что мы обнаружили вредоносные двоичные файлы SolarWinds в нашей среде, которые мы изолировали и удалили. Мы не нашли доказательств доступа к производственным услугам или данным клиентов. Наши расследования, которые продолжаются, не обнаружили абсолютно никаких признаков того, что наши системы использовались для атак на других.
Смит охарактеризовал продолжающийся взлом SolarWinds как «момент расплаты», заявив, что, по его убеждению, «нам нужны решительные шаги, чтобы привлечь к ответственности национальные государства за кибератаки».
В глобальной игре в кошки-мышки, связанной с кибербезопасностью, атака SolarWinds значительно подняла ставки.
Атака SolarWinds продолжает расти
Взлом SolarWinds продолжается и требует новых жертв.
Microsoft – одна из крупнейших технологических компаний, заявивших о своем участии. Среди других целей – Министерство энергетики США и, что, пожалуй, больше всего беспокоит Национальное управление ядерной безопасности, которое управляет ядерным арсеналом США.
В отчете Microsoft указано, что около 80 процентов пострадавших организаций находятся в США. Также есть жертвы в Великобритании, Бельгии, Испании, Канаде, Мексике, Израиле и ОАЭ. Ожидается, что в ближайшие дни и недели появятся новые жертвы.
Агентство кибербезопасности и безопасности инфраструктуры США (CISA) опубликовало новую информацию об атаке, сообщив, что другие векторы атаки могут существовать за пределами SolarWinds и вредоносного ПО Sunburst, являющегося источником угрозы.
Например, CISA расследует инцидент, связанный с использованием подозреваемым злоумышленником секретных ключей, украденных в ходе предыдущей атаки. Секретный ключ (например, ключ шифрования) позволяет злоумышленнику «сгенерировать cookie, чтобы обойти многофакторную аутентификацию Duo, защищающую доступ к Outlook Web App (OWA)».
SolarWinds – это так называемый взлом цепочки поставок. Злоумышленники взламывают цепочку поставок в сеть жертвы, а не атакуют сеть напрямую. Попав внутрь, злоумышленник получает беспрецедентный доступ к внутренней работе организации.
SolarWinds – не первая атака цепочки поставок, но почти наверняка самая крупная.