Mimecast is de laatste die is toegevoegd aan de lijst van bedrijven die getroffen zijn door de SolarWinds-hacks, die nu Solarigate wordt genoemd.
Feiten
Tijdens het onderzoek van Microsoft naar de SolarWinds-hack identificeerden en informeerden ze weer een ander slachtoffer. Mimecast is een cloudgebaseerd e-mailbeheersysteem dat beveiliging, archivering en andere services integreert in het Office 365-platform. Van de 36,000 klanten van Mimecast wordt geschat dat 10% wordt getroffen door de hack. Volgens Mimecast waren slechts een handvol van die klanten - naar verluidt een eencijferig nummer - het doelwit. De aard van deze doelen moet nog worden vrijgegeven, maar het impliceert dat de Russische agenten achter Solarigate mogelijk specifieke hoogwaardige slachtoffers uitkiezen en kiezen. Op 12 januari kwam Mimecast uit deze aanbeveling aan de getroffenen:
“Als voorzorgsmaatregel vragen we de subgroep van Mimecast-klanten die deze op certificaten gebaseerde verbinding gebruiken, om de bestaande verbinding binnen hun M365-tenant onmiddellijk te verwijderen en een nieuwe op certificaten gebaseerde verbinding tot stand te brengen met behulp van het nieuwe certificaat dat we beschikbaar hebben gesteld. Het uitvoeren van deze actie heeft geen invloed op de inkomende of uitgaande e-mailstroom of de bijbehorende beveiligingsscans.
De veiligheid van onze klanten is altijd onze topprioriteit. We hebben een externe forensische expert ingeschakeld om ons te helpen bij ons onderzoek, en we zullen waar nodig nauw samenwerken met Microsoft en de politie. "
Zie ook: Nation State Cyber Security-gedrag
Bij eerdere aanvallen die verband hielden met Solarigate, werd de netwerkbeheersoftware Orion gebruikt als een Trojaans paard door kwaadaardige code door te drukken met legitieme updates en patches. Mimecast maakt echter geen gebruik meer van SolarWinds-services, wat een nieuwe vraag oproept. Hebben de Solarigate-hackers toegang gekregen vanwege Mimecast's eerdere omgang met SolarWinds of via een volledig niet-gerelateerde methode? Hoe dan ook, de unieke tools en strategieën van de hack laten cyberspecialisten er zeker van zijn dat de hack door dezelfde groep is uitgevoerd.
Specifiek CPO Magazine bericht"Eerder bleken SolarWinds-hackers in staat om het Security Assertion Markup Language (SAML) -ondertekeningscertificaat te compromitteren om authenticatietokens voor het cloudplatform van Microsoft te genereren.
De cybercrime-bende gebruikte de verkregen inloggegevens om zich te verifiëren op Microsoft Active Directory Domain Services om de rechten op de domeincontroller te escaleren en lateraal over het hele bedrijfsnetwerk te verspreiden. "
Overheids- en particuliere entiteiten die door de SolarWinds-hackers werden getroffen, werden ook met soortgelijke tactieken geschonden.
Het Department of Homeland Security heeft onlangs gewaarschuwd dat de hackers andere strategieën dan het Trojaanse paard van Orion gebruikten om in netwerken in te breken, waaronder het raden van wachtwoorden en onbeveiligde beheerdersreferenties. Er vond bijvoorbeeld nog een inbreuk plaats via een externe leverancier die de cloudgebaseerde software van Microsoft doorverkoopt. Van daaruit probeerden de hackers toegang te krijgen tot de e-mails van CrowdStrike Inc. De cyberbeveiligingsleverancier zegt dat de aanval niet succesvol was. Microsoft waarschuwt dat externe leveranciers een doelwit blijven voor de Solarigate-hackers.
Zie ook: De ultieme checklist voor leveranciersrisico's
Lessons Learned
Naarmate de lijst met slachtoffers blijft groeien bij wat de grootste cyberaanval in de Verenigde Staten is, wordt het voor bedrijven en de overheid steeds belangrijker om aanvullende beveiligingsmaatregelen te nemen. Elementaire best practices zijn niet langer voldoende. Voortdurende gebruikerstraining en -tests, samen met de inzet van geavanceerde cyberbeveiligingstechnologie, helpen de lekken tussen standaard cyberbeveiligingsmaatregelen en hackmogelijkheden te dichten.
Totdat voldoende organisaties acht slaan op dergelijke oplossingen en deze implementeren, zullen hackers aangemoedigd blijven worden en zullen hacks zoals de SolarWinds-hack steeds vaker voorkomen.
Lees verder: Incident van de week
Bron: https://www.cshub.com/attacks/articles/iotw-another-solarigate-target-identified-by-microsoft
