Nuove prove nel corso dell’indagine in corso sulla campagna di spionaggio rivolta a SolarWinds hanno scoperto un tentativo fallito di compromettere la società di sicurezza informatica Crowdstrike e accedere alla posta elettronica dell’azienda.
L’attività di hacking è stata segnalata alla società dal Threat Intelligence Center di Microsoft il 15 dicembre, che ha identificato l’account Microsoft Azure di un rivenditore di terze parti per effettuare “chiamate anomale” alle API cloud di Microsoft durante un periodo di 17 ore diversi mesi fa.
L’account Azure del rivenditore interessato non divulgato gestisce le licenze di Microsoft Office per i suoi clienti Azure, incluso CrowdStrike.
Sebbene ci sia stato un tentativo da parte di autori di minacce non identificate di leggere la posta elettronica, alla fine è stato sventato poiché l’azienda non utilizza il servizio di posta elettronica di Office 365 di Microsoft, ha affermato CrowdStrike .
L’incidente arriva sulla scia dell’attacco alla catena di fornitura di SolarWinds rivelato all’inizio di questo mese, che ha portato alla distribuzione di una backdoor nascosta (nota anche come “Sunburst”) tramite aggiornamenti dannosi di un software di monitoraggio della rete chiamato SolarWinds Orion.
Dopo la divulgazione, Microsoft, Cisco, VMware, Intel, NVIDIA e un certo numero di agenzie governative statunitensi hanno confermato di aver trovato installazioni Orion contaminate nei loro ambienti.
Lo sviluppo arriva una settimana dopo che il produttore di Windows, a sua volta un cliente di SolarWinds, ha negato agli hacker di essersi infiltrato nei suoi sistemi di produzione per organizzare ulteriori attacchi contro i suoi utenti e ha trovato prove di un gruppo di hacker separato che abusa del software Orion per installare una backdoor separata chiamata “Supernova”.
Coincide anche con un nuovo rapporto del Washington Post di oggi, in cui si afferma che gli hacker del governo russo hanno violato i clienti cloud Microsoft e rubato le e-mail da almeno una società del settore privato approfittando di un rivenditore Microsoft che gestisce i servizi di accesso al cloud.
Abbiamo contattato Microsoft e aggiorneremo la storia se ci sentiamo di nuovo.
CrowdStrike ha anche rilasciato CrowdStrike Reporting Tool per Azure ( CRT ), uno strumento gratuito che mira ad aiutare le organizzazioni a rivedere le autorizzazioni eccessive nei loro ambienti Azure Active Directory o Office 365 e aiutare a determinare i punti deboli della configurazione.
Inoltre, la US Cybersecurity Infrastructure and Security Agency (CISA) ha creato separatamente un’utilità open source simile chiamata Sparrow per aiutare a rilevare possibili account e applicazioni compromessi in ambienti Azure o Office 365.
“Lo strumento è destinato all’uso da parte dei soccorritori ed è strettamente focalizzato su attività endemiche ai recenti attacchi basati su identità e autenticazione osservati in più settori”, ha detto CISA .
Da parte sua, SolarWinds ha aggiornato il suo avviso di sicurezza , esortando i clienti ad aggiornare il software della piattaforma Orion alla versione 2020.2.1 HF 2 o 2019.4 HF 6 per mitigare i rischi associati alle vulnerabilità Sunburst e Supernova.
Hai trovato interessante questo articolo? Segui THN su Facebook , Twittere LinkedIn per leggere altri contenuti esclusivi che pubblichiamo.