Mimecast: les hackers de SolarWinds ont volé du code source

0

La société de sécurité d’e-mail Mimecast a confirmé que les pirates de SolarWinds qui ont piraté son réseau plus tôt cette année ont téléchargé du code source à partir d’un nombre limité de dépôts.

Pour pirater le réseau de Mimecast, les hackers ont utilisé la porte dérobée Sunburst, un malware distribué par les pirates de SolarWinds à environ 18.000 clients de SolarWinds en utilisant le mécanisme de mise à jour automatique compromis de la plate-forme de surveillance informatique SolarWinds Orion.

Du code source dérobé durant les attaques

« En utilisant ce point d’entrée, le pirate informatique a accès à certains certificats émis par Mimecast et des informations connexes de connexion serveur client », a expliqué Mimecast dans un rapport d’incident publié récemment.

« Le pirate informatique a également eu accès à un sous-ensemble d’adresses e-mail et d’autres coordonnées, ainsi qu’à des informations d’identification cryptées et/ou hashées et salées.

« De plus, le pirate informatique a téléchargé un nombre limité de nos référentiels de code source, mais nous n’avons trouvé aucune preuve de modifications de notre code source et nous ne croyons pas qu’il y ait eu d’impact sur nos produits. »

mimecast

La société estime que le code source exfiltré par les attaquants est incomplet et insuffisant pour développer une version du service Mimecast.

« Nous ne pensons pas que le hacker ait apporté des modifications à notre code source », a ajouté l’entreprise. « L’analyse médico-légale de tous les logiciels Mimecast déployés par le client a confirmé que le processus de construction des exécutables distribués par Mimecast n’a pas été altéré. »

Les pirates de SolarWinds n’ont ciblé qu’un petit nombre de clients de Microsoft 365 après avoir volé un certificat délivré par Microsoft utilisé pour sécuriser les taches de synchronisation cloud de serveur Microsoft 365, comme la société a d’abord révélé en Janvier.

Même si Mimecast n’a pas divulgué le nombre exact de clients qui ont utilisé le certificat volé, la société a déclaré qu’environ 10 pour cent de leurs clients « utilisent cette connexion. »

Les produits de Mimecast sont utilisés par plus de 36 000 clients, dont 10 % représentent environ 3 600 clients potentiellement touchés.

Notre enquête a révélé une activité suspecte dans un segment de notre environnement de grille de production contenant un petit nombre de serveurs Windows. Le mouvement latéral du point d’accès initial à ces serveurs est compatible avec le mécanisme décrit par Microsoft et d’autres organisations qui ont documenté le modèle d’attaque de cet acteur de la menace.

Nous avons déterminé que l’acteur de la menace a tiré parti de notre environnement Windows pour interroger, et potentiellement extraire, certaines informations d’identification de compte de service crypté créées par des clients hébergés aux États-Unis et au Royaume-Uni. Ces informations d’identification établissent des connexions entre les locataires de Mimecast et les services sur place et cloud, qui incluent les itinéraires de livraison authentifiés par LDAP, Azure Active Directory, Exchange Web Services, POP3 journaling et SMTP. Nous n’avons aucune preuve que l’acteur de la menace a accédé au courrier électronique ou au contenu d’archives que nous détenons au nom de nos clients.

– Mimecast

Au cours de l’enquête, Mimecast a découvert des méthodes d’accès supplémentaires établies par les pirates de SolarWinds pour maintenir l’accès aux systèmes Windows compromis sur l’environnement du réseau de production de l’entreprise.

Après avoir terminé l’enquête sur l’incident avec les experts médico-légaux de Mandiant, Mimecast a déclaré avoir réussi à couper l’accès des acteurs de la menace à son environnement.

Aucune preuve n’a été trouvée concernant le contenu d’e-mail ou d’archives qui aurait été accédé par les pirates pendant l’attaque.

Microsoft a également déclaré en Février que les pirates de SolarWinds ont téléchargé du code source pour un nombre limité de composants Azure, Intune et Exchange.

Mesures correctives de Mimecast

Mimecast réinitialise toutes les “informations d’identification hachées ou salées qui sont affectées” après avoir également recommandé aux clients hébergés aux États-Unis et au Royaume-Uni de réinitialiser toutes les informations d’identification de connexion de serveur qu’ils utilisent sur la plate-forme Mimecast.

La société de sécurité d’e-mail travaille sur un nouveau mécanisme d’authentification basé sur OAuth pour connecter les plates-formes de service Mimecast et Microsoft pour sécuriser davantage les connexions serveur Mimecast.

Mimecast a également pris plusieurs mesures d’assainissement supplémentaires après la brèche de sécurité:

  • Rotation de tous les certificats et clés de cryptage impactés.
  • Mise à niveau de la force de l’algorithme de cryptage pour toutes les informations d’identification stockées.
  • Mise en place d’une surveillance renforcée de tous les certificats stockés et clés de chiffrement.
  • Déploiement de fonctionnalités supplémentaires de surveillance de la sécurité des hôtes dans l’ensemble de notre infrastructure.
  • Déclassé SolarWinds Orion et remplacé par un autre système de surveillance NetFlow
  • Rotation de toutes les informations d’identification des employés, du système et de l’administration de Mimecast, et authentification à deux facteurs pour l’accès des employés aux systèmes de production.
  • Complètement remplacé tous les serveurs compromis.
  • Inspection et vérification de nos systèmes de construction et d’automatisation pour confirmer que les exécutables distribués par Mimecast n’ont pas été altérés.
  • Mise en œuvre d’analyses statiques et de sécurité supplémentaires dans l’arbre de code source.

Les hackers de SolarWinds

L’acteur de la menace derrière les attaques de la chaîne d’approvisionnement de SolarWinds est identifié comme UNC2452 (FireEye), StellarParticle (CrowdStrike), SolarStorm (Palo Alto Unit 42), Dark Halo (Volexity), et Nobelium (Microsoft).

Bien que son identité reste inconnue, une déclaration conjointe publiée par le FBI, le CISA, l’ODNI et la NSA indique qu’il s’agit probablement d’un groupe APT soutenu par la Russie.

Au moment où Mimecast a révélé leur brèche, la société de cybersécurité Malwarebytes a également confirmé que les pirates de SolarWinds pouvaient accéder à certains e-mails internes de l’entreprise.

Il y a deux semaines, SolarWinds a révélé des dépenses d’environ 3,5 millions de dollars jusqu’en décembre 2020 en raison de l’attaque de la chaîne d’approvisionnement de l’an dernier. Toutefois, des coûts supplémentaires élevés sont prévus au cours des périodes financières à venir.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.