Microsoft: 40 klientów firmy było celami masowej kampanii hakerskiej
Microsoft twierdzi, że zidentyfikował ponad 40 klientów, którzy byli konkretnymi celami w masowej kampanii rosyjskich hakerów.
Microsoft w czwartek 17 grudnia opublikował na swoim blogu wpis, z którego wynika, że 80 proc. klientów zagrożonych atakami hakerów to firmy z USA. Pozostali pochodzą z Kanady, Meksyku, Belgii, Hiszpanii, Wielkiej Brytanii, Izraela i Zjednoczonych Emiratów Arabskich.
Atak hakerów na klientów Microsoft
"Jest pewne, że liczba i lokalizacja ofiar będzie rosła" - napisał w poście główny radca prawny Microsoft, Brad Smith, dodając, że dochodzenie firmy Microsoft wykazało, że atak trwa i jest „niezwykły ze względu na zakres, wyrafinowanie i wpływ”.
Lista celów obejmuje agencje rządowe, a także firmy zajmujące się bezpieczeństwem, firmy technologiczne oraz organizacje pozarządowe. W tym tygodniu pojawiły się doniesienia, że kilka amerykańskich agencji rządowych zostało zaatakowanych przez hakerów będących na usługach rosyjskiego rządu. Washington Post informował, że za atakami m.in. na serwery Ministerstwa Skarbu Państwa oraz Krajowej Administracji Telekomunikacji i Informacji stoi grupa APT29.
W tych przypadkach doszło do złamania zabezpieczeń uwierzytelniających rządowe konta Microsoft Office. Dzięki temu hakerzy mogli monitorować przychodzące i wysyłane maile. Dodatkowo, jak donosi SolarWinds, osoby atakujące zainstalowały złośliwe oprogramowanie w aktualizacji produktu firmy Orion, która mogła zostać pobrana przez ponad 17 000 klientów.
Złamanie zabezpieczeń i kolejne ataki
Wcześniej w czwartek Microsoft poinformował, że na atak narażone są również systemy. Microsoft znalazł złośliwy kod związany z atakiem "w naszym środowisku, które wyizolowaliśmy i usunęliśmy", jak informował rzecznik Frank Shaw firmy na swoim Twitterze. Shaw zaprzeczył również, że systemy Microsoftu zostały użyte do ataku na inne ofiary.
"Nasze trwające dochodzenia nie wykazały absolutnie żadnych oznak, że nasze systemy były używane do atakowania innych" – napisał Shaw.
Pierwsze informacje o masowej kampanii hakerskiej pojawiły się w weekend. Jak jednak uważa The New York Times włamanie zostało zauważone kilka tygodni temu "dopiero wtedy, gdy prywatna firma zajmująca się bezpieczeństwem cybernetycznym, FireEye, zaalarmowała amerykański wywiad, że hakerzy omijali warstwy zabezpieczeń".
Punktem dostępowym najprawdopodobniej było oprogramowanie do zarządzania siecią Orion firmy SolarWinds. Kiedy hakerzy dodali backdoora do kodu Oriona, „oprogramowanie połączone z serwerem kontrolowanym przez hakerów, umożliwiło im przeprowadzanie dalszych ataków na klientów SolarWinds i kradzież danych”, jak donosi Wall Street Journal.