Hakerzy stojący za kampanią SolarWinds opracowali backdoora, który wydobywa poufne informacje z zaatakowanych serwerów Microsoft Active Directory Federation Services (AD FS) – informuje CRN USA.

„Nie mogę zrozumieć, dlaczego klienci nadal nie chronią swoich kluczy AD FS w HSM” – alarmuje Roger Halbheer z Microsoftu. Był to według niego kluczowy wektor podczas ataku SolarWinds, a więc zagrożenie jest znane od dawna.

Microsoft ostrzega, że ukierunkowany na ten rodzaj ataków backdoor o nazwie FoggyWeb (wykryty już w kwietniu br.) pozwala napastnikom na zdalny dostęp do poufnych informacji z zaatakowanego serwera AD FS. Kradnie poświadczenia, konfiguracyjne bazy danych oraz odszyfrowane certyfikaty do podpisywania i odszyfrowywania tokenów ze zhakowanych serwerów AD FS.

Według Microsoftu serwery AD FS działają wyłącznie lokalnie. Koncern powiadomił klientów, którzy zostali zaatakowani przy użyciu FoggyWeb. Zaleca firmom, które podejrzewają że padły ofiarą ataku, audyt infrastruktury lokalnej i chmurowej ze zwróceniem uwagi na zmiany, które mogły zostać wprowadzone przez szkodnika.

O atak wykorzystujący lukę w oprogramowaniu Solarwinds Orion, wykryty w grudniu 2020 r., władze USA oficjalnie obwiniły rosyjski wywiad. Jak stwierdzono, hakerzy uderzyli w 9 agencji federalnych i blisko 100 firm, w tym z sektora IT (choć podawano też liczbę 18 tys. dotkniętych podmiotów). W ataku mogło wziąć udział ponad 1 tys. hakerów, co czyni go największym w historii.