Malwarebytes, компания по обеспечению безопасности, заявила, что ее атаковала та же хакерская группировка, которая осуществила взлом систем SolarWinds. При этом в Malwarebytes утверждают, что эта атака планировалась отдельно, так как компания не использует какое-либо программное обеспечение SolarWinds в своей внутренней сети.
С помощью неактивного продукта защиты электронной почты в клиенте Office 365 были взломаны внутренние системы. Отмечается, что Office365 без двухфакторной аутентификации очень легко внедрить в систему социальной инженерии.
Malwarebytes заявила, что узнала об атаке 15 декабря от Microsoft Security Response Center (MSRC), который обнаружил подозрительную активность, исходящую от бездействующего приложения безопасности Office 365. В то время Microsoft проводила аудит своей инфраструктуры Office 365 и Azure на предмет наличия признаков вредоносных приложений, созданных хакерами SolarWinds. Позднее компания подтвердила факт получения хакерами доступа к внутренним сетевым и серверным ресурсам компании. В ходе взлома злоумышленники смогли просмотреть часть исходного кода некоторых продуктов Microsoft.
Malwarebytes начала внутреннее расследование, чтобы определить, к какой информации получили доступ хакеры. Выяснилось, что они завладели некоторыми внутренними электронными письмами компании.
В Malwarebytes также провели аудит всех своих продуктов и их исходного кода. Он не выявил несанкционированный доступ или взлом локальных и производственных сред. Как утверждает компания, ее ПО остается безопасным в использовании.
Таким образом, Malwarebytes стала четвертым крупным поставщиком средств обеспечения безопасности, на которого совершили атаку. Ранее о взломе сообщали FireEye, Microsoft и CrowdStrike.
В декабре стало известно, что хакерской атаке подверглись сети минфина, Национального управления по телекоммуникациям и информации, Госдепа, министерства внутренней безопасности, министерство финансов и министерство торговли США. Также она могла затронуть министерство энергетики и Национальное управление по ядерной безопасности.
Атаку могла организовать хакерская группа АРТ29, или Cozy Bear, которую связывают с российским правительством. Российские власти все обвинения опровергли.
По информации FireEye, злоумышленники взломали ПО SolarWinds и внедрили вредоносное обновление в программу Orion, которая используется правительственными учреждениями в США. При загрузке обновления злоумышленники получили доступ к сетям клиентов SolarWinds. Атака затрагивает обновления, выпущенные в период с марта по июнь 2020 года. Не исключено, что хакеры использовали сервер TeamCity компании JetBrains, которую СМИ назвали «малоизвестной» российской компанией с главным офисом в Чехии.
Исследователь безопасности Винот Кумар сообщал, что учетные данные сервера обновлений ПО SolarWinds появились в открытом доступе на GitHub в 2019 году. Исследователь рассказал, что он предупреждал компанию об этом еще в ноябре 2019 года. Кроме того, Кумар отмечает, что использовался пароль для авторизации «solarwinds123».
