Компанията за компютърна сигурност Malwarebytes съобщи, че са станали жертва на същата група, атакувала SolarWinds. Разкритието беше направено в официалния блог на компанията.

Векторът на атака към мрежите на MBAM обаче не е софтуер на SolarWinds, тъй като те не използват такъв. Причината е неизползван продукт за имейл защита в средата на Office 365, която компанията ползва. Самите те научават за атаката, след като са алармирани за това от екипите за сигурност на Microsoft – Microsoft Security Response Center (MSRC) – в средата на миналия месец. По това време MSCR регистрират подозрителна активност, която идва именно от това приложение. Скоро след това, Malwarebytes започва разследване на случая, в което участват и хора от Microsoft. В хода на разследването се установява, че атакуващата страна е успяла да достигне ограничен брой имейл вътрешни за компанията имейл акаунти. Не е установено компрометирането на локални корпоративни или продуктови масиви.

„Вземайки предвид атаката към линията за доставка на SolarWinds и с оглед на подсигуряването, ние веднага проведохме щателно разследване на целия изходен код на Malwarebytes, процесите по доставка и отделните билдове, в това число направихме обстоен преглед на собствения ни софтуер“, пишат Malwarebytes. „Вътрешните ни системи не показаха да е осъществен непозволен достъп в коя да е от локалните или продуктовите ни среди. Софтуерът ни остава сигурен за използване“.

Макар и общественото внимание да се фокусира основно над атаката към системата за обновления на SolarWinds Orion, американските служби за сигурност и компании от сектора за киберзащита алармираха за основен вектор за компрометиране на организациите, използван от групата зад атаката към SolarWinds – компрометиране на процесите по удостоверяване в облачна среда и използването на слабости в услугите, предоставяни от системата Active Directory Federation Services (ADFS) чрез техника, наречена Golden SAML и разкрита още през 2017.

Самата хакерска кампания към SolarWinds, американски правителствени и федерални служби и компании и организации по цял свят в началото се приписваше на популярна руска APT (Advanced Persistent Threat), но впоследвствие стана ясно, че става въпрос за неизвестен засега агент, подкрепян от чуждо за САЩ правителство. Имената, с които групата стана известна са UNC2452 или Dark Halo.

Припомняме, че в средата на миналия месец, в Белия дом беше свикана спешна среща, на която се обсъди мащабна хакерска операция, засегнала две американски министерства. Впоследствие стана ясно, че става въпрос за далеч по-голяма акция, при която са засегнати множество клиенти на SolarWinds. Сред тях се включват държавни структури, организации от различен тип и бизнеси. Сред засегнатите проличаха имената на големи технологични компании, като Microsoft, VMware, Cisco и др. като точния мащаб и цели на кибершпионската операция остават неизвестни.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
4 Коментара
стари
нови оценка
Отзиви
Всички коментари