У Microsoft украли исходный код Azure и Exchange
Операторы атаки на SolarWinds проникли в репозитории кода Microsoft и смогли скопировать "небольшие порции" исходного кода Azure, Exchange и Intune. Глубже в сети корпорации им проникнуть не удалось.
Проблема для Azure, Intune и Exchange
Корпорация Microsoft признала, что в результате недавней кибератаки злоумышленникам могли достаться фрагменты исходного кода ряда флагманских решений корпорации. В частности, речь идет о компонентах Azure, Intune и Exchange. Об этом говорится в публикации самой Microsoft.
Взлом был связан с атакой на разработчика средств мониторинга сетей SolarWinds, клиентом которого являются Microsoft и множество других крупных компаний, а также некоторые госорганы США. Злоумышленникам удалось внедрить вредоносные компоненты в платформу ИТ-мониторинга Orion и тем самым обеспечить себе доступ в инфраструктуру организаций, пострадавших впоследствии.
Атака на SolarWinds приписывается хакерской группировке APT29, которая, как считают в США, может быть связана с российской Службой внешней разведки.
Еще 31 декабря 2020 г. Microsoft опубликовала сообщение, в котором указывалось, что злоумышленники могли получить доступ к исходникам нескольких внутренних проектов компании в конце ноября 2020 г. После того, как затронутые атакой через Orion аккаунты были перекрыты, злоумышленники еще некоторое время пытались получить доступ повторно, и эти попытки продолжались до января 2021 г.
В Microsoft утверждают, что взломщики не имели возможности ни просмотреть, ни тем более скачать целиком содержимое внутренних репозиториев, и речь идет только о нескольких отдельных файлах.
Правильные настройки
Судя по зарегистрированным поисковым запросам злоумышленников, они пытались найти секретные токены доступа для проникновения в другие системы Microsoft, однако разработчикам компании запрещается хранить их в исходном коде, так что поиски успехом не увенчались.
В компании утверждают, что злоумышленникам удалось скачать лишь "небольшое количество" исходного кода компонентов облачных решений Azure (в частности, касающихся сервисов, безопасности и идентификации), Intune и Exchange, однако других подробностей фирма не представила.
В конце 2020 г. стало известно, что неизвестные киберпреступники нашли универсальный способ проникновения в сети множества компаний. Взломав обновления ПО Orion компании SolarWinds, они интегрировали в них свой вредоносный код (бэкдор) и таким образом обеспечили себе возможность проникновения в тысячи организаций. В числе жертв хакерской атаки оказались Intel (производитель процессоров), Nvidia (производитель видеокарт), VMware (разработчик ПО для виртуализации), BelkinInternational (производитель сетевых устройств, компьютерной периферии и аксессуаров под брендами LinkSys и Belkin), Минфин и Минторг США и многие другие коммерческие и академические организации и органы власти.
"В произошедшем особой вины Microsoft нет, больше того, компании, по-видимому, удалось уберечься от куда больших проблем, чем другим жертвам атаки на SolarWinds, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Атаки через "цепочки поставок" относятся к числу наиболее опасных, поскольку источником угрозы оказываются пользующиеся повышенным доверием инструменты и разработки; этим и объясняется успешность атак, последовавших за взломом SolarWinds - меньше всего кто-то ожидал атак именно через их платформу".