El proveedor de administración de correo electrónico Mimecast ha confirmado que los mismos piratas informáticos avanzados responsables del ataque a la cadena de suministro de SolarWinds realizaron una intrusión en la red utilizada para espiar a sus clientes.
Los piratas informáticos, que las agencias de inteligencia de EE. UU. dicho probablemente tienen orígenes rusos, usó una actualización con puerta trasera para el software SolarWinds Orion para apuntar a un pequeño número de clientes de Mimecast. Aprovechando el malware Sunburst que se coló en la actualización, los atacantes primero obtuvieron acceso a parte del entorno de la red de producción de Mimecast. Luego accedieron a un certificado emitido por Mimecast que algunos clientes usan para autenticar varios servicios web de Microsoft 365 Exchange.
Tocando las conexiones de Microsoft 365
Trabajando con Microsoft, que descubrió por primera vez la infracción y la informó a Mimecast, los investigadores de la compañía descubrieron que los actores de la amenaza luego usaron el certificado para “conectarse a un número bajo de un solo dígito de los inquilinos de M365 de nuestros clientes mutuos de rangos de direcciones IP que no son de Mimecast”. . “
Los piratas informáticos también accedieron a direcciones de correo electrónico, información de contacto y “credenciales cifradas y / o hash y saladas”. También se descargó un número limitado de repositorios de código fuente, pero Mimecast dijo que no hay evidencia de modificaciones o impacto en los productos de la compañía. La compañía continuó diciendo que no hay evidencia de que los piratas informáticos hayan accedido al correo electrónico o al contenido de archivo que Mimecast tiene en nombre de sus clientes.
en un correo publicado el martes, los funcionarios de Mimecast escribieron:
Si bien la evidencia mostró que este certificado se usó para apuntar solo a un pequeño número de clientes, formulamos rápidamente un plan para mitigar el riesgo potencial para todos los clientes que usaron el certificado. Pusimos a disposición una nueva conexión de certificado y aconsejamos a estos clientes y socios de soporte relevantes, por correo electrónico, notificaciones en la aplicación y llamadas salientes, que tomen el paso de precaución de cambiar a la nueva conexión. Nuestra publicación de blog público proporcionó visibilidad en torno a esta etapa del incidente.
Nos coordinamos con Microsoft para confirmar que no hubo más uso no autorizado del certificado de Mimecast comprometido y trabajamos con nuestros clientes y socios para migrar a la nueva conexión de certificado. Una vez que la mayoría de nuestros clientes implementó la nueva conexión de certificado, Microsoft deshabilitó el certificado comprometido a petición nuestra.
Los pocos elegidos
El ataque a la cadena de suministro de SolarWinds salió a la luz en diciembre. Los atacantes lo llevaron a cabo infectando el sistema de distribución y construcción de software de la compañía de Austin, Texas, y usándolo para lanzar una actualización que fue descargada e instalada por 18,000 clientes de SolarWinds.
Mimecast fue uno de los pocos clientes que recibieron malware de seguimiento que permitió a los atacantes penetrar más profundamente en las redes infectadas para acceder a contenido específico de interés. Funcionarios de la Casa Blanca han dicho que al menos nueve agencias federales y 100 empresas privadas resultaron afectadas en el ataque, que pasó desapercibido durante meses.
Los compromisos de certificados permiten a los piratas informáticos leer y modificar datos cifrados mientras viajan por Internet. Para que eso suceda, un pirata informático primero debe obtener la capacidad de monitorear la conexión que entra y sale de la red de un objetivo. Por lo general, los compromisos de certificados requieren acceso a dispositivos de almacenamiento altamente reforzados que almacenan claves de cifrado privadas. Ese acceso generalmente requiere piratería de nivel profundo o acceso interno.
Al subrayar lo quirúrgico que fue el ataque a la cadena de suministro, Mimecast se encontraba entre el pequeño porcentaje de clientes de SolarWinds que recibieron un ataque de seguimiento. A su vez, de los varios miles de clientes de Mimecast que se cree que utilizaron el certificado comprometido, menos de 10 fueron realmente el objetivo. Limitar la cantidad de objetivos que reciben malware de seguimiento y lanzar los ataques desde servicios ubicados en los EE. UU. Fueron dos de las formas en que los piratas informáticos evitaron que se descubriera su operación.
Cuando Mimecast reveló por primera vez el compromiso del certificado en enero, las similitudes con partes del ataque SolarWinds generaron especulaciones de que los dos eventos estaban conectados. La publicación de Mimecast del martes es la primera confirmación formal de esa conexión.