Microsoft публикует окончательный отчет о кибератаке SolarWinds
Microsoft опубликовала свой окончательный отчет о масштабной кибератаке SolarWinds, в которой приведены некоторые дополнительные сведения о ее результатах и участии. В отчете подтверждается, что злоумышленникам удалось получить доступ к репозиториям кода для нескольких продуктов Microsoft, включая доступ к исходному коду продукта.
Хотя доступ злоумышленника к исходному коду звучит тревожно, в отчете Microsoft подчеркивается, что доступ к репозиториям не содержал никаких «действующих, производственных учетных данных».
Microsoft публикует окончательный отчет SolarWinds
Последний отчет Microsoft по SolarWinds доступен для чтения в блоге Microsoft Security Response Center .
Из последнего отчета можно сделать несколько важных выводов, касающихся SolarWinds.
Во-первых, Microsoft «не обнаружила признаков того, что наши системы в Microsoft использовались для атак на других».
Хотя это может показаться стандартным ответом, Microsoft и SolarWinds (компания, чье программное обеспечение Orion было стартовой площадкой для атаки) постоянно спорили о том, какая компания была взломана первой в результате взлома цепочки поставок .
Во-вторых, отчет Microsoft подтверждает, что злоумышленники действительно получили доступ к нескольким репозиториям, содержащим исходный код продуктов Microsoft.
Не было случая, чтобы были доступны все репозитории, относящиеся к какому-либо отдельному продукту или услуге. Доступа к подавляющему большинству исходного кода не было. Для почти всех доступных репозиториев кода только несколько отдельных файлов были просмотрены в результате поиска в репозиториях.
Далее в отчете подробно описаны некоторые репозитории, к которым злоумышленники получили дополнительный доступ:
- небольшое подмножество компонентов Azure (подмножества услуг, безопасности, удостоверений)
- небольшое подмножество компонентов Intune
- небольшое подмножество компонентов Exchange
В этих репозиториях злоумышленники пытались «найти секреты», будь то уязвимости, бэкдоры или данные. Microsoft не работает с секретами в своем опубликованном коде, поэтому искать было нечего. Однако из-за масштаба нарушения и диапазона целей Microsoft провела полную проверку своей кодовой базы.
Чему Microsoft научилась у SolarWinds
Для Microsoft и большинства других технических и охранных компаний, участвовавших в кибератаке SolarWinds, самым большим уроком является то, что такие огромные атаки могут происходить, казалось бы, без предупреждения, со стороны злоумышленника, незаметно скрывающегося из поля зрения в течение длительного времени.
Достаточно продвинутая угроза, такая как субъект угрозы национального государства, может накапливать ресурсы для масштабной операции, проникая в несколько технологических компаний и многие правительственные ведомства США.
Несмотря на то, что Microsoft установила, что, по ее мнению , было действительной целью злоумышленника SolarWinds , атака была настолько широкой, что мы, возможно, никогда не сможем понять, сколько данных было украдено или как они будут использоваться в будущем.