Microsoft публикует итоговый отчет о кибератаке на SolarWinds

Microsoft опубликовала свой окончательный отчет о масштабной кибератаке SolarWinds, в которой приведены некоторые дополнительные сведения о ее результатах и ​​участии. В отчете подтверждается, что злоумышленникам удалось получить доступ к репозиториям кода для нескольких продуктов Microsoft, включая доступ к исходному коду продукта.

Хотя доступ злоумышленника к исходному коду звучит тревожно, в отчете Microsoft подчеркивается, что доступ к репозиториям не содержал никаких «действующих, производственных учетных данных».

Microsoft публикует окончательный отчет о SolarWinds

Последний отчет Microsoft по SolarWinds доступен для чтения на Блог Microsoft Security Response Center.

Из последнего отчета можно сделать несколько важных выводов, касающихся SolarWinds.

Во-первых, Microsoft «не обнаружила признаков того, что наши системы в Microsoft использовались для атак на других».

Хотя это может показаться стандартным ответом, Microsoft и SolarWinds (компания, чья Orion программное обеспечение было стартовой площадкой для атаки) постоянно спорили о том, какая компания была взломана первый в

взлом цепочки поставок.

Что такое взлом цепочки поставок и как обезопасить себя?

Не можете прорваться через входную дверь? Вместо этого атакуйте сеть цепочки поставок. Вот как работают эти хаки.

Во-вторых, отчет Microsoft подтверждает, что злоумышленники действительно получили доступ к нескольким репозиториям, содержащим исходный код продуктов Microsoft.

Не было случая, чтобы были доступны все репозитории, относящиеся к какому-либо отдельному продукту или услуге. Доступа к подавляющему большинству исходного кода не было. Для почти всех доступных репозиториев кода только несколько отдельных файлов были просмотрены в результате поиска в репозиториях.

Далее в отчете подробно описаны некоторые репозитории, к которым злоумышленники получили дополнительный доступ:

• небольшое подмножество компонентов Azure (подмножества услуг, безопасности, удостоверений)
• небольшое подмножество компонентов Intune
• небольшое подмножество компонентов Exchange

В этих репозиториях злоумышленники пытались «найти секреты», будь то уязвимости, бэкдоры или данные. Microsoft не работает с секретами в своем публикуемом коде, поэтому искать было нечего. Однако из-за масштабов нарушения и диапазона целей Microsoft провела полную проверку своей кодовой базы.

Связанный: Microsoft раскрывает исходный код злоумышленников SolarWinds

Чему Microsoft научилась у SolarWinds

Для Microsoft и большинства других технических и охранных компаний, участвовавших в кибератаке SolarWinds, главный урок заключается в том, что такие огромные атаки могут происходить, казалось бы, без предупреждения, со стороны злоумышленника, который молча скрывается из поля зрения в течение длительного времени. период.

Достаточно продвинутая угроза, такая как субъект угрозы национального государства, может накапливать ресурсы для масштабной операции, проникая в несколько технологических компаний и многие правительственные ведомства США.

Несмотря на то, что Microsoft установила, что думала Фактическая цель атакующего SolarWinds была, атака была настолько обширной, что мы, возможно, никогда не сможем по-настоящему понять, сколько данных было украдено или как они будут использоваться в будущем.

Microsoft добавляет оповещения об угрозах на национальном уровне в Защитник для Office 365

Новые оповещения будут информировать пользователей об опасности, исходящей от лица, угрожающего национальному государству.

Об авторе