邮件安全公司 Mimecast 已证实称年初攻陷其网络的 SolarWinds 黑客盗走了某些仓库的源代码。
攻击者使用 Sunburst 后门攻陷了 Mimecast 公司的网络。该后门也是攻击者攻陷约1.8万名 SolarWinds 客户的工具。
部分源代码被盗
Mimecast 公司在今天早些时候发布的事件响应报告中指出,“通过这个入口点,威胁行动者访问了某些由 Mimecast 公司发布的证书和相关的客户服务器连接信息。威胁行动者还访问了邮件地址子集和其它联系人信息,以及加密和/或哈希与盐凭据。另外,他们还访问并下载了数量有限的源代码仓库,不过目前并未发现源代码遭修改的证据,而且我们认为并未对产品造成任何影响。“
Mimecast 公司认为攻击者提取的源代码是不完整的且不足以开发出可以运行的 Mimecast 服务版本。该公司还指出通过对所有客户部署的 Mimecast 软件的取证分析,证实 Mimecast 分发的可执行文件的build 进程并未遭篡改。
Mimecast 公司在今年1月份初次发布的报告中指出,SolarWinds 黑客窃取用于保护 Microsoft 365 云同步服务器任务的由微软颁发的证书后,仅攻击个位数数量的 Microsoft 365租户的客户。尽管该公司并未说明使用这些被盗证书的具体客户数量,但表示约10%的公司客户“使用了该连接“。Mimecast 公司的客户数量超过3.6万家,因此10%大概是3600名受影响。
Mimecast 公司在今天发布的公告中指出,“调查显示,包含少量 Windows 服务器的一部分生产网络中存在可疑活动。从最初的访问点横向移动到这些服务器中的行为和微软及其它记录了攻击模式的组织机构所描述的机制一致。我们判断该威胁行动者利用我们的 Windows 环境进行查询,还可能提取了位于美国和英国的客户所创建的某些加密服务账户。这些凭据建立从 Mimecast 租户到本地和云服务的连接,包括 LDAP、Azure Active Directory、Exchange Web Services、POP3 日记和 SMTP认证的交付路径。我们并非发现关于威胁行动者访问客户邮件或文档内容的证据。”
在调查期间,Mimecast 公司发现了 SolarWinds 黑客设立的其它访问方法,这些方法用于维护对公司生产网络环境中失陷 Windows 系统的访问权限。
和 Mandiant 公司取证专家完成事件调查后,Mimecast 公司表示已成功切断威胁行动者对环境的访问权限。目前尚未有证据表明黑客访问了邮件和文档内容。微软也曾在今年2月份表示,SolarWinds 黑客窃取了为数不多的 Azure、Intune 和 Exchange 组件的源代码。
修复措施
Mimecast 公司建议位于美国和英国的客户重置在 Mimecast 平台上使用的任何服务器连接凭据,之后重置了所有“受影响的哈希和盐凭据”。
该公司还在着手开发新的基于 OAuth 的认证系统用于连接 Mimecast 和微软服务平台,目的是确保 Mimecast Server Connections 的安全。
该公司还提出了其它几条修复措施:
替换所有受影响的证书和密钥
为所有已存储凭据升级加密算法强度
增强对所有存储证书和密钥的监控
在所有基础设施中部署额外的主机安全监控功能
弃用 SolarWinds Orion 并用 NetFlow 监控系统替代
替换公司所有员工、系统和管理员权限,并对员工访问生产系统扩展了基于硬件的双因素认证机制
完全替换所有失陷服务器
监察和验证 build 和自动化系统,证实 Mimecast 分布式可执行文件未遭到篡改
在源代码树种执行额外的静态分析和安全分析
SolarWinds 黑客
SolarWinds 黑客被称为 “UNC24521”(火眼)、”StellarParticle” (CrowdStrike)、”SolarStorm” (Palo Alto Unit 42)、“Dark Halo” (Volexity) 和 “Nobelium”(微软)。
虽然黑客的身份未知,但FBI、CISA、ODNI 和 NSA 表示很可能是受俄罗斯支持的 APT 组织。
就在 Mimecast 披露公司受陷之时,网络安全公司 Malwarebytes 公司也证实称黑客也访问了公司的某些内部邮件。两周前,SolarWinds 公司称截止到2020年12月,去年的供应链攻击已造成约350万美元的损失。然而,在接下来的统计周期内,可能会产生更多成本。