Microsoft ha rivelato giovedì che gli attori delle minacce che alimentano l’attacco di SolarWinds sono stati in grado di accedere a una varietà compatta di account interni della sua rete.
“L’hacker ha utilizzato l’accesso non autorizzato al codice sorgente presente nei suoi archivi“, ha detto l’azienda.
“Abbiamo rilevato attività non convenzionali con un numero esiguo di account interni e, dopo la valutazione, abbiamo scoperto che un account personale esperto è stato utilizzato per esaminare il codice sorgente in una certa quantità di archivi“, ha rivelato il produttore di Windows in un aggiornamento.
“L’account non disponeva delle autorizzazioni per modificare il codice o le tecniche di ingegneria e la nostra indagine ha verificato ulteriormente che non fossero state apportate modifiche. Questi account sono stati esaminati e risolti“.
Il miglioramento è il più recente della saga di spionaggio di portata significativa che è arrivata a livelli moderati all’inizio di dicembre in base alle rivelazioni dell’organizzazione per la sicurezza informatica FireEye secondo cui gli aggressori avevano compromesso i suoi programmi utilizzando un aggiornamento Trojan di SolarWinds per rubare i suoi strumenti di test di penetrazione Pink Staff.
Per tutta la durata del corso di formazione sull’indagine sull’hack, Microsoft ha ammesso in precedenza di aver rilevato i binari distruttivi di SolarWinds nel suo ecosistema personale, ma ha negato che i suoi metodi fossero applicati per concentrarsi su alcuni altri o che gli aggressori avevano ottenuto per fornire soluzioni o conoscenza degli acquirenti.
Diverse altre società, tra cui Cisco, VMware, Intel, NVIDIA e un certo numero di altre società amministrative governative statunitensi, da allora hanno scoperto i marker del malware Sunburst (o Solorigate) sulle loro reti, piantati utilizzando aggiornamenti Orion contaminati.
La società per lo più con sede a Redmond ha dichiarato che la sua indagine è comunque in corso, ma ha minimizzato l’incidente, tra cui “la visualizzazione del codice di fornitura non è legata all’elevazione del rischio” e che ha sperimentato prove identificate di funzioni sperimentate che sono state neutralizzate dalle sue protezioni.
In un diverso esame rilasciato da Microsoft il 28 dicembre, l’azienda ha definito l’attacco una “compromissione interdominio” che autorizzava l’avversario a introdurre codice dannoso nei binari del sistema SolarWinds Orion firmato e a sfruttare questo punto d’appoggio comune per continuare a correre senza essere rilevato e ad accedere al mezzi cloud di destinazione, che culminano con l’esfiltrazione di informazioni delicate.
L’applicazione Orion di SolarWinds, tuttavia, non è stata l’unico vettore di infezione iniziale, poiché la Cybersecurity and Infrastructure Security Company (CISA) statunitense ha affermato che gli aggressori hanno utilizzato altri approcci altrettanto bene, che tuttavia non sono stati divulgati pubblicamente.
La società ha anche introdotto consigli supplementari per sollecitare tutte le organizzazioni federali statunitensi che continuano a eseguire il software SolarWinds Orion per l’aggiornamento all’ultima versione 2020.2.1 HF2.
“La Countrywide Security Agency (NSA) ha esaminato questa variazione e verificato che elimina il codice distruttivo scoperto in precedenza”, ha affermato l’agenzia.
