La société de sécurité de messagerie Mimecast a révélé mardi que les pirates informatiques SolarWinds parrainés par l’État qui ont pénétré son réseau interne ont également téléchargé le code source à partir d’un nombre limité de référentiels.

“L’acteur de la menace a eu accès à un sous-ensemble d’adresses e-mail et à d’autres informations de contact ainsi qu’à des informations d’identification hachées et salées”, a déclaré la société mentionné dans un article détaillant son enquête, ajoutant que l’adversaire “a accédé et téléchargé un nombre limité de nos référentiels de code source, comme l’acteur menaçant l’aurait fait avec d’autres victimes de l’attaque de la chaîne d’approvisionnement SolarWinds Orion.”

Mais Mimecast a déclaré que le code source téléchargé par les attaquants était incomplet et serait insuffisant pour créer et exécuter tout aspect du service Mimecast et qu’il n’a trouvé aucun signe de falsification faite par l’acteur menaçant au processus de construction associé aux exécutables qui sont distribués à ses clients.

Le 12 janvier, Mimecast a révélé qu’un «acteur de la menace sophistiqué» avait compromis un certificat numérique qu’il avait fourni à certains clients pour connecter en toute sécurité ses produits à Microsoft 365 (M365) Exchange.

Des semaines plus tard, la société a lié l’incident à la campagne d’exploitation massive de SolarWinds, notant que l’acteur de la menace a accédé et peut-être exfiltré certaines informations d’identification de compte de service cryptées créées par des clients hébergés aux États-Unis et au Royaume-Uni.

Notant que l’intrusion résultait de la porte dérobée Sunburst qui a été déployée via des mises à jour logicielles de SolarWinds Orion trojanized, la société a déclaré avoir observé un mouvement latéral du point d’accès initial à son environnement de grille de production contenant un petit nombre de serveurs Windows d’une manière qui était conforme au modèle d’attaque attribué à l’acteur menaçant

Bien que le nombre exact de clients ayant utilisé le certificat volé reste inconnu, la société a déclaré en janvier qu ‘”un faible nombre à un chiffre de locataires M365 de nos clients était ciblé”.

Présumé d’origine russe, l’acteur menaçant derrière les attaques de la chaîne d’approvisionnement SolarWinds est suivi sous plusieurs noms, notamment UNC2452 (FireEye), Dark Halo (Volexity), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) et Nobelium (Microsoft).

Mimecast, qui avait engagé Mandiant à diriger ses efforts de réponse aux incidents, a déclaré avoir conclu l’enquête plus tôt ce mois-ci.

Dans le cadre d’une série de contre-mesures, la société a également noté qu’elle avait entièrement remplacé les serveurs Windows compromis, mis à niveau la force de l’algorithme de cryptage pour toutes les informations d’identification stockées, mis en œuvre une surveillance améliorée de tous les certificats stockés et clés de cryptage et qu’elle avait déclassé SolarWinds Orion en faveur d’un système de surveillance NetFlow.



Leave a Reply