Mimecast می گوید هکرهای SolarWinds شبکه آنها را هک کرده و از مشتریان جاسوسی کردند


یک زنجیر و یک قفل بر روی صفحه کلید لپ تاپ قرار دارد.
بزرگنمایی / پیشرفت در کامپیوتر.

ارائه دهنده مدیریت ایمیل Mimecast تأیید کرد که نفوذ شبکه مورد استفاده برای جاسوسی از مشتریان خود توسط همان هکرهای پیشرفته مسئول حمله زنجیره تامین SolarWinds انجام شده است.

هکرهایی که به گفته اطلاعات آمریكا احتمالاً روسی هستند ، از بروزرسانی بازخورد نرم افزار SolarWinds Orion برای هدف قرار دادن تعداد كمی از مشتریان Mimecast استفاده كردند. با استفاده از بدافزار Sunburst که به روزرسانی نفوذ کرده بود ، مهاجمان ابتدا به بخشی از شبکه تولید Mimecast دسترسی پیدا کردند. سپس آنها به گواهی صادر شده توسط Mimecast دسترسی پیدا کردند که برخی از مشتریان برای تأیید اعتبار خدمات وب مختلف Microsoft 365 Exchange از آن استفاده می کنند.

پیوندهای Microsoft 365 را لمس کنید

محققان شرکت با همکاری با مایکروسافت ، که اولین بار این نقض را کشف و آن را به Mimecast گزارش دادند ، دریافتند که تهدید کنندگان سپس از گواهی استفاده کردند تا “به تعداد تک رقمی مستأجرهای M365 مشترکین غیر مشترکان Mimecast ما متصل شوند”. . “

هکرها همچنین به آدرس های ایمیل ، اطلاعات تماس و “مدارک رمز شده و / یا هش شده و شناسایی شده” دسترسی داشتند. تعداد محدودی از مخازن کد منبع نیز بارگیری شد ، اما Mimecast گفت هیچ مدرکی مبنی بر اصلاح یا تأثیر بر محصولات این شرکت وجود ندارد. این شرکت در ادامه گفت هیچ شواهدی مبنی بر دسترسی هکرها به ایمیل یا محتوای بایگانی که Mimecast به نمایندگی از مشتریان خود در اختیار داشت ، وجود ندارد.

در پستی که روز سه شنبه ارسال شد ، کارمندان Mimecast نوشتند:

در حالی که شواهد نشان می دهد که این گواهینامه فقط برای تعداد کمی از مشتریان استفاده شده است ، ما به سرعت طرحی را تنظیم کردیم که خطر احتمالی را برای همه مشتریانی که از این گواهینامه استفاده می کنند کاهش دهد. ما پیوند گواهی جدیدی در دسترس قرار دادیم و به این مشتریان و شرکای پشتیبانی مربوطه توصیه کردیم که هنگام جابجایی به پیوند جدید از طریق ایمیل ، اعلان های درون برنامه ای و تماس های خروجی ، احتیاط کنند. پست وبلاگ عمومی ما در این مرحله از حادثه قابل مشاهده بود.

ما با مایکروسافت هماهنگ کردیم تا تأیید کنیم دیگر از مجوز Mimecast به خطر افتاده استفاده غیر مجاز نمی شود و ما با مشتریان و شرکای خود کار کردیم تا به پیوند جدید گواهی مهاجرت کنیم. بعد از اینکه اکثر مشتریان ما پیوند گواهینامه جدید را اجرا کردند ، مایکروسافت به درخواست ما گواهی به خطر افتاده را غیرفعال می کند.

تعداد معدودی که انتخاب شده اند

حمله زنجیره تامین SolarWinds در ماه دسامبر آشکار شد. مهاجمان این کار را با آلوده کردن سیستم توسعه و توزیع نرم افزار آستین ، تگزاس و استفاده از آن برای به روزرسانی بارگیری و نصب شده توسط 18000 مشتری SolarWinds انجام دادند.

Mimecast یکی از معدود مشتریانی بود که بدافزار پیگیری را دریافت می کرد و به مهاجمان اجازه می داد بیشتر در شبکه های آلوده نفوذ کنند تا به محتوای خاص مورد علاقه دسترسی پیدا کنند. مقامات کاخ سفید گفتند که حداقل 9 آژانس فدرال و 100 شرکت خصوصی تحت تأثیر این حمله قرار گرفتند ، این حمله ماهها بدون شناسایی بود.

مبادلات گواهی به هکرها این امکان را می دهد تا هنگام سفر از طریق اینترنت ، داده های رمزگذاری شده را بخوانند و اصلاح کنند. برای این اتفاق ، هکر ابتدا باید توانایی نظارت بر اتصال ورودی و خروجی به شبکه هدف را پیدا کند. معاملات تجاری گواهی معمولاً نیاز به دسترسی به دستگاههای ذخیره سازی بسیار غنی شده که کلیدهای رمزگذاری خصوصی را در خود ذخیره می کنند ، دارد. این دسترسی معمولاً به هک شدن در سطح عمیق یا دسترسی به داخل نیاز دارد.

با برجسته کردن اینکه چگونه حمله زنجیره تامین جراحی بود ، Mimecast در میان درصد کمی از مشتریان SolarWinds بود که حمله پیگیری دریافت کردند. به نوبه خود ، از بین چندین هزار مشتری Mimecast که اعتقاد داشتند از گواهی به خطر افتاده استفاده کرده اند ، کمتر از 10 مشتری واقعاً هدف قرار گرفته اند. محدود کردن تعداد اهدافی که بدافزار بعدی را دریافت می کنند و حملات از سوی سرویس های مستقر در ایالات متحده ، دو روشی است که هکرها مانع افشای عملکرد خود شدند.

هنگامی که Mimecast برای اولین بار سازش این گواهینامه را در ژانویه کشف کرد ، شباهت ها با قسمت هایی از حمله SolarWinds باعث گمانه زنی های مربوط به این دو رویداد شد. ارسال Mimecast در روز سه شنبه اولین تایید رسمی این ارتباط است.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>