让我们来看看民族国家的 *** 攻击者SolarWinds更详细的信息。
在周三发布的更新中,SolarWinds公司总裁兼首席执行官Sudhakar Ramakrishna该公司正在进行的调查证实,供应链攻击背后的首先进入SolarWinds的Office 365环境。从那里,攻击者获得了员工的登录凭证和正确的登录凭证Orion构建环境特权访问,然后为平台的软件更新添加后门程序。攻击感染了更新,攻击了 *** 机构和技术巨头等重要客户。
调查的主要部分是确定攻击媒介。Ramakrishna表示,这次Office 365攻击很可能通过“获取凭证和/或通过零日漏洞访问第三方应用程序”而发生。
Ramakrishna在博客中写道:“如前一份报告所述,该分析确定威胁行为未经授权进入我们的环境,并于2019年10月在我们的环境中Orion Platform调查了软件版本。我们还没有确定威胁者首次获得未经授权访问我们环境的确切日期。我们已经确定了我们的Office 365环境可疑活动,但我们的调查尚未发现Office 365中的特定漏洞可能会威胁参与者通过Office 365进入我们的环境。”
但目前尚不清楚该公司的调查组是否排除了这种可能性。
Ramakrishna确认“SolarWinds电子邮件账户被盗,用于编程访问业务和技术部门SolarWinds目标人员账户。”
SolarWinds拒绝进一步讨论该账户如何被盗。
在周三发表的另一篇博客文章中,Ramakrishna谈到公司不断改进的安全措施。它包括零信任和更低特权访问 *** ,以及通过增加对SolarWinds环境中所有SaaS对第三方风险的持续监控和检查。
调查更新在那里SolarWinds在之一次宣布供应链攻击后的7周内。从那以后,包括供应链攻击在内的许多受害者被曝光SolarWinds客户微软。12月31日,该科技巨头确认黑客已访问微软源代码,但未更改或获取。在此之前,微软和FireEye和GoDaddy合作,为恶意软件创建抵抗程序,FireEye将其称为“Sunburst”。
此外,其他供应商也向其报告Office 365环境遭受数据泄露攻击。上个月,Malwarebytes披露遭受SolarWinds虽然同一攻击者的攻击不是SolarWinds的客户。Malwarebytes公司首席执行官Marcin Kleczynski在博客文章中,另一种入侵媒入侵媒体的存在–通过滥用对Microsoft Office 365和Azure有特权访问的环境“休眠电子邮件保护产品”来运作。
同样的民族国家攻击者也攻击了Mimecast。微软通知电子邮件安全供应商Mimecast颁发的Microsoft 365 Exchange Web Services身份验证证书被攻击者窃取。尽管他们最初没有把事件和事件SolarWinds但是Mimecast最终证实数字证书是由SolarWinds同样的攻击者在攻击背后被盗。