La firma de seguridad de correo electrónico Mimecast reveló el martes que los piratas informáticos de SolarWinds patrocinados por el estado que irrumpieron en su red interna también descargaron el código fuente de un número limitado de repositorios.
«El actor amenaza hizo el acceso de un subconjunto de direcciones de correo electrónico y otra información de contacto y las credenciales hash y salados», la compañía dijo en un reportaje que detalla su investigación, añadiendo adversario «visitada y descargado un número limitado de nuestros repositorios de código fuente, como se informa que el actor de amenazas hizo con otras víctimas del ataque a la cadena de suministro de SolarWinds Orion «.
Pero Mimecast dijo que el código fuente descargado por los atacantes estaba incompleto y sería insuficiente para construir y ejecutar cualquier aspecto del servicio Mimecast y que no encontró señales de manipulación hecha por el actor de amenazas al proceso de construcción asociado con los ejecutables que se distribuyen a sus clientes.
El 12 de enero, Mimecast reveló que «un actor de amenazas sofisticado» había comprometido un certificado digital que proporcionó a ciertos clientes para conectar de forma segura sus productos a Microsoft 365 (M365) Exchange.
Semanas después, la compañía vinculó el incidente con la campaña de explotación masiva de SolarWinds, y señaló que el actor de amenazas accedió y posiblemente exfiltró ciertas credenciales de cuentas de servicio encriptadas creadas por clientes alojados en los EE. UU. Y el Reino Unido
Al señalar que la intrusión se debió a la puerta trasera Sunburst que se implementó a través de actualizaciones de software SolarWinds Orion troyanizadas, la compañía dijo que observó un movimiento lateral desde el punto de acceso inicial a su entorno de cuadrícula de producción que contiene una pequeña cantidad de servidores Windows de una manera que fue coherente con el patrón de ataque atribuido al actor de la amenaza.
Aunque se desconoce el número exacto de clientes que utilizaron el certificado robado, la compañía dijo en enero que «se apuntó a un número bajo de un solo dígito de los inquilinos de M365 de nuestros clientes».
Supuestamente de origen ruso, el actor de amenazas detrás de los ataques a la cadena de suministro de SolarWinds está siendo rastreado con varios nombres, incluidos UNC2452 (FireEye), Dark Halo (Volexity), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) y Nobelium (Microsoft).
Mimecast, que había contratado a Mandiant para liderar sus esfuerzos de respuesta a incidentes, dijo que concluyó la investigación a principios de este mes.
Como parte de una serie de contramedidas, la compañía también señaló que reemplazó completamente los servidores de Windows comprometidos, actualizó la fuerza del algoritmo de cifrado para todas las credenciales almacenadas, implementó un monitoreo mejorado de todos los certificados almacenados y claves de cifrado y que había dado de baja a SolarWinds Orion a favor de un sistema de monitorización NetFlow.