Hakerzy, którzy wcześniej zaatakowali SolarWinds, uderzyli w co najmniej 140 firm z globalnego łańcucha dostaw IT – ostrzega Microsoft. Według koncernu na celowniku cyberprzestępców znaleźli się resellerzy – dostawcy oprogramowania i usług chmurowych. W ten sposób napastnicy przypuszczalnie chcą przeniknąć do systemów ich klientów. Jak na razie 14 ze 140 firm potwierdziło atak.

Prawdopodobnie cyberprzestępcy nie wykorzystują określonych luk w zabezpieczeniach. Próbują przejąć dane uprzywilejowanego dostępu stosując m.in. phishing i kradzieże tokenów.

Rosja chce monitorować cele

Ataki wykorzystujące lukę w oprogramowaniu SolarWinds Orion zostały wykryte w końcu 2020 r., a przypuszczalnie trwał już od września 2019 r. Władze USA uważają, że cyberprzestępcy działali na zlecenie rosyjskich służb.

„Rosja próbuje uzyskać długoterminowy, systematyczny dostęp do różnych punktów w łańcuchu dostaw technologii i stworzyć mechanizm monitorowania celów w interesie rosyjskiego rządu” – komentuje nową akcję hakerów Tom Burt, wiceprezes Microsoftu odpowiedzialny za bezpieczeństwo klientów.

Także Charles Carmakal, CTO Mendiant (do niedawna cześć FireEye, teraz samodzielny podmiot) utrzymuje, że firma zidentyfikowała wiele podejrzanych rosyjskich cyberataków, wykorzystujących relacje pomiędzy dostawcami w łańcuchu dostaw technologii w USA i Europie a ich klientami. Celem było uzyskanie dostępu do podmiotów, jakimi interesują się rosyjskie władze – uważa CTO.

Partnerzy będą mogli lepiej monitorować klientów

Microsoft twierdzi, że poinformował firmy, których dotyczy problem i wydał odpowiednie wskazówki.

Zapowiedział, że w listopadzie udostępni nowe narzędzie do raportowania, które identyfikuje wszystkie aktywne połączenia delegowanych uprawnień administracyjnych, aby pomóc firmom wykrywać nieużywane połączenia. Pozwoli to partnerom na usunięcie takich połączeń.

W minionym miesiącu przedstawiciel Microsoftu ostrzegał, że hakerzy którzy zaatakowali SolarWinds, nadal zagrażają serwerom Microsoft Active Directory Federation Services, wykorzystując znaną od dawna podatność. Apelował do użytkowników o właściwą ochronę.