قالت شركة Malwarebytes للأمن إنه تم إختراقها من قبل نفس المتسللين الذين ترعاهم دولة قومية والذين قاموا باختراق عشرات أو أكثر من الوكالات الحكومية والشركات الخاصة الأمريكية.
يشتهر المهاجمون باختراقهم لأول مرة في SolarWinds في أوستن ، تكساس ، مما يعرض نظام توزيع البرامج الخاص به للخطر ويستخدمه لإصابة شبكات العملاء الذين استخدموا برنامج إدارة شبكة SolarWinds. في إشعار عبر الإنترنت ، ومع ذلك، قال التقيم أن المهاجمين إستخدموا ناقلات مختلفة.
وجاء في الإشعار "على الرغم من أن Malwarebytes لا تستخدم SolarWinds ، فقد تم استهدافنا مؤخراً ، مثل العديد من الشركات الأخرى من قبل نفس الفاعل المهدد". "يمكننا تأكيد وجود متجه تطفل آخر يعمل عن طريق إساءة إستخدام التطبيقات ذات الوصول المميز إلى بيئات Microsoft Office 365 و Azure".
قرر المحققون أن المهاجم قد تمكن من الوصول إلى مجموعة فرعية محدودة من رسائل البريد الإلكتروني الداخلية للشركة. حتى الآن ، لم يجد المحققون أي دليل على الوصول غير المصرح به أو التسوية في أي بيئات إنتاج Malwarebytes.
الإشعار ليس المرة الأولى التي يقول فيها المحققون إن هجوم سلسلة التوريد الخاص ببرنامج SolarWinds لم يكن الوسيلة الوحيدة للعدوى.
عندما حل وسط الكتلة جاء على ضوء الشهر الماضي، وقالت مايكروسوفت سرق القراصنة أيضاً توقيع الشهادات التي سمحت لهم إنتحال شخصية أي من المستخدمين والحسابات الموجودة هدفاً من خلال لغة توصيف الأمن التأكيد. عادةً ما يتم إختصارها إلى SAML ، توفر اللغة المستندة إلى XML طريقة لموفري الهوية لتبادل بيانات المصادقة والتفويض مع موفري الخدمة.
قبل 12 يوماً ، قالت وكالة الأمن السيبراني وأمن البنية التحتية إن المهاجمين ربما حصلوا على وصول أولي باستخدام تخمين كلمة المرور أو رش كلمة المرور أو عن طريق إستغلال بيانات الإعتماد الإدارية أو بيانات إعتماد الخدمة.
كتب الباحث في Malwarebytes Marcin Kleczynski: "في حالتنا الخاصة ، أضاف ممثل التهديد شهادة موقعة ذاتياً مع بيانات إعتماد لحساب الخدمة الرئيسي". "من هناك ، يمكنهم المصادقة باستخدام المفتاح وإجراء مكالمات API لطلب رسائل البريد الإلكتروني عبر MSGraph."
في الأسبوع الماضي ، قال موفر إدارة البريد الإلكتروني Mimecast أيضاً إن المتسللين إخترقوا شهادة رقمية أصدرتها واستخدموها لاستهداف عملاء محددين يستخدمونها لتشفير البيانات التي أرسلوها واستلموها من خلال خدمة الشركة المستندة إلى السحابة. في حين أن Mimecast لم يقل أن اختراق الشهادة كان متعلقاً بالهجوم المستمر ، فإن أوجه التشابه تجعل من المحتمل أن يكون الهجومان مرتبطين.
نظراً لأن المهاجمين إستخدموا وصولهم إلى شبكة SolarWinds لتعريض نظام بناء برامج الشركة للخطر ، فقد بحث باحثو Malwarebytes في إمكانية استخدامهم أيضاً لإصابة عملائهم. حتى الآن ، قالت إنه ليس لديها دليل على مثل هذه العدوى. قامت الشركة أيضاً بفحص مستودعات كود المصدر الخاصة بها بحثاً عن علامات على تغييرات ضارة.
قالت Malwarebytes إنها علمت لأول مرة بالعدوى من Microsoft في 15 ديسمبر ، بعد يومين من الكشف عن إختراق SolarWinds لأول مرة. حددت Microsoft إختراق الشبكة من خلال نشاط مريب من تطبيق تابع لجهة خارجية في مستأجر Microsoft Office 365 التابع لشركة Malwarebytes. كانت التكتيكات والتقنيات والإجراءات في الهجوم ، مماثلة في نواح رئيسية لممثل التهديد المتورط في هجمات SolarWinds.
يمثل إشعار Malwarebytes المرة الرابعة التي تكشف فيها الشركة عن استهدافها من قبل قراصنة SolarWinds. كما تم إستهداف مايكروسوفت وشركتي الأمن FireEye و CrowdStrike ، على الرغم من أن CrowdStrike قالت إن محاولة إصابة شبكتها لم تنجح. تشمل الوكالات الحكومية التي تم الإبلاغ عن تأثرها وزارات الدفاع والعدل والخزانة والتجارة والأمن الداخلي بالإضافة إلى المعاهد الوطنية للصحة.
