Şirket, Microsoft kimlik bilgileri saldırısının SolarWinds Orion güvenlik ihlaliyle ilgili olduğunu doğruladı

Mimecast, kullanıcıların Microsoft 365 hesaplarının ihlal edildiğini gören son bir güvenlik olayının , SolarWinds saldırısından sorumlu olan aynı tehdit aktörleri tarafından gerçekleştirildiğini doğruladı .

Büyük olay SolarWinds’ın muhtemelen Rus devleti tarafından gerçekleştirilen “oldukça karmaşık, manuel tedarik zinciri saldırısının” kurbanı oldu . Moskova saldırıya dahil olduğunu reddetti, ancak ülkedeki işletmeleri ABD misillemesi riski altında olabilecekleri konusunda uyardı.

Haftalar sonra Mimecast, siber suçluların dijital sertifikalarından birini alıp müşterilerin Microsoft 365 hesaplarına erişim sağlamak için kötüye kullandıkları bir saldırının hedefi olduğunu açıkladı.

Daha önce şüphelenilmesine rağmen, şimdi iki olayın bağlantılı olduğu belirlendi. 

Mimecast blogunda , olayla ilgili dahili bir araştırmanın “SolarWinds Orion yazılım uzlaşmasıyla ilgili olduğunu ve aynı karmaşık tehdit aktörü tarafından işlendiğini” tespit ettiğini açıkladı.

Mimecast, “Araştırmamız ayrıca, tehdit aktörünün Amerika Birleşik Devletleri ve Birleşik Krallık’ta barındırılan müşteriler tarafından oluşturulan belirli şifreli hizmet hesabı kimlik bilgilerine eriştiğini ve potansiyel olarak sızdığını gösterdi” dedi.

“Bu kimlik bilgileri, Mimecast kiracılarından LDAP, Azure Active Directory, Exchange Web Hizmetleri, POP3 günlük kaydı ve SMTP kimlik doğrulamalı teslim yollarını içeren şirket içi ve bulut hizmetlerine bağlantılar kurar.”

Bulut siber güvenlik hizmetleri sağlayıcı ayrıca “kimlik bilgilerini sıfırlamak için ihtiyati adımlar atmaya” onun ABD ve İngiltere merkezli kullanıcıları tavsiye etti.

Ancak, “şifrelenmiş kimlik bilgilerinin herhangi birinin şifresinin çözüldüğünün veya kötüye kullanıldığının farkında olmadığını” ekledi.

Şirket, kolluk kuvvetleriyle işbirliği yaptığını ve “bu tehdit aktörüne yönelik soruşturmanın unsurlarının devam ettiğini” söyledi.