Bezpečnostná spoločnosť Malwarebytes napadnutá útočníkmi zodpovednými za SolarWinds

Spoločnosť Malwarebytes sa stala obeťou skupiny zodpovednej za kampaň SolarWinds. Útočníci získali prístup ku časti internej emailovej komunikácie. Dôsledná analýza kódu ukázala, že produkty firmy neboli kompromitované.

Spoločnosť Malwarebytes informovala, že sa stala po FireEye, Microsoft a CrowdStrike štvrtou obeťou kybernetického útoku APT skupiny Cozy Bear, spomedzi významných kyberbezpečnostných organizácií. Útočníci označovaní tiež ako Dark Halo minulý rok kompromitovali a injektovali škodlivým kódom aktualizačné súbory platformy Orion od spoločnosti SolarWinds. Na svete bolo v tom čase nasadených 18 000 zraniteľných inštalácií a analýzy v nasledujúcich týždňoch po útoku odhalili minimálne 250 napadnutých organizácií.

Útok na Malwarebytes však podľa vyjadrenia spoločnosti nesúvisí s kompromitovanou inštaláciou Orion, nakoľko túto platformu nepoužíva. Útočníci údajne zneužili aplikácie s privilegovaným prístupom ku prostrediam Microsoft Office 365 a Microsoft Azure. Spoločnosť Microsoft informovala Malwarebytes o podozrivej aktivite nečinnej aplikácie pre emailovú ochranu v jednom z jej tenantov Office 365. Útočníci mali použiť vlastnoručne podpísaný certifikát s prístupovými údajmi ku servisnému účtu a pomocou API volaní cez aplikáciu Microsoft Graph odosielať požiadavky na vyžiadanie emailov.

Prístup získali k časti vnútornej emailovej komunikácie. Dôkazy kompromitácie vnútorného, ani produkčného prostredia však neboli nájdené. Po dôkladnom audite zdrojového kódu sú podľa Malwarebytes jej produkty stále rovnako bezpečné na používanie.

Skupina Cozy Bear okrem bezpečnostných spoločností úspešne zaútočila v rámci kompromitácie platformy SolarWinds Orion na mnohé americké štátne inštitúcie, spoločnosti rebríčka Fortune 500 a iné ciele.

Odkazy
https://thehackernews.com/2021/01/solarwinds-hackers-also-breached.html
https://www.zdnet.com/article/malwarebytes-said-it-was-hacked-by-the-same-group-who-breached-solarwinds/
https://www.itnews.com.au/news/security-vendor-malwarebytes-hacked-through-office-365-and-azure-559936
https://www.reuters.com/article/us-global-cyber-malwarebytes/malwarebytes-says-some-of-its-emails-were-breached-by-solarwinds-hackers-idUSKBN29O2CB