Mimecast descubre que los piratas informáticos de SolarWinds robaron parte de su código fuente

La empresa de seguridad de correo electrónico Mimecast reveló el martes que los piratas informáticos de SolarWinds patrocinados por el estado que irrumpieron en su red interna también descargaron el código fuente de un número limitado de repositorios.

«El actor de la amenaza accedió a un subconjunto de direcciones de correo electrónico y otra información de contacto y credenciales codificadas y saladas», dijo la compañía en un artículo que detalla su investigación, y agregó que el adversario «accedió y descargó un número limitado de nuestros repositorios de código fuente, como se informa que el actor de amenazas hizo con otras víctimas del ataque a la cadena de suministro de SolarWinds Orion «.

Pero Mimecast dijo que el código fuente descargado por los atacantes estaba incompleto y sería insuficiente para construir y ejecutar cualquier aspecto del servicio Mimecast y que no encontró signos de manipulación por parte del actor de amenazas en el proceso de construcción asociado con los ejecutables que se distribuyen a sus clientes.

El 12 de enero, Mimecast reveló que «un actor de amenazas sofisticado» había comprometido un certificado digital que proporcionó a ciertos clientes para conectar de forma segura sus productos a Microsoft 365 (M365) Exchange.

Semanas más tarde, la empresa vinculó el incidente a la campaña de explotación masiva de SolarWinds y señaló que el autor de la amenaza accedió y posiblemente exfiltró ciertas credenciales de cuentas de servicio encriptadas creadas por clientes alojados en los EE. UU. y el Reino Unido.

Al señalar que la intrusión se debió a la puerta trasera Sunburst que se implementó a través de actualizaciones de software SolarWinds Orion con troyanos, la compañía dijo que observó un movimiento lateral desde el punto de acceso inicial a su entorno de red de producción que contenía una pequeña cantidad de servidores Windows de una manera que fue consistente con el patrón de ataque atribuido al actor de amenazas.

Aunque se desconoce el número exacto de clientes que usaron el certificado robado, la compañía dijo en enero que «se apuntó a un número bajo de un solo dígito de los inquilinos M365 de nuestros clientes».

Presuntamente de origen ruso, el actor de amenazas detrás de los ataques a la cadena de suministro de SolarWinds está siendo rastreado con varios nombres, incluidos UNC2452 (FireEye), Dark Halo (Volexity), SolarStorm (Unidad 42 de Palo Alto), StellarParticle (CrowdStrike) y Nobelium (Microsoft).

Mimecast, que había contratado a Mandiant para que dirigiera sus esfuerzos de respuesta a incidentes, dijo que concluyó la investigación a principios de este mes.

Como parte de una serie de contramedidas, la compañía también señaló que reemplazó por completo los servidores de Windows comprometidos, actualizó la fuerza del algoritmo de cifrado para todas las credenciales almacenadas, implementó un monitoreo mejorado de todos los certificados almacenados y claves de cifrado y que había dado de baja a SolarWinds Orion a favor de un sistema de monitoreo NetFlow.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática