Suspeitos de hackers russos usaram fornecedores da Microsoft para violar clientes – Últimas notícias

O suspeito russo hackers por trás do pior ataque cibernético dos EUA em anos, alavancou o acesso do revendedor a Microsoft Corp serviços para penetrar alvos que não tinham software de rede comprometido de SolarWinds Corp, disseram os investigadores.

Enquanto atualiza para SolarWinds ‘ Orion software era anteriormente o único ponto de entrada conhecido, a empresa de segurança CrowdStrike Holdings Inc disse quinta-feira que os hackers ganharam acesso ao fornecedor que vendeu licenças do Office e usaram isso para tentar ler o e-mail de CrowdStrike.

Ele não identificou especificamente os hackers como aqueles que comprometeram a SolarWinds, mas duas pessoas familiarizadas com a investigação de CrowdStrike disseram que sim. CrowdStrike usa programas do Office para processamento de texto, mas não e-mail. A tentativa fracassada, feita meses atrás, foi apontada para CrowdStrike por Microsoft em 15 de dezembro.

CrowdStrike, que não usa SolarWinds, disse que não encontrou nenhum impacto na tentativa de intrusão e se recusou a nomear o revendedor.

“Eles entraram pelo acesso do revendedor e tentaram habilitar os privilégios de ‘leitura’ do correio”, disse uma pessoa familiarizada com a investigação à Reuters. “Se estivesse usando o Office 365 para e-mail, o jogo terminaria.”

Muitas licenças de software da Microsoft são vendidas por meio de terceiros, e essas empresas podem ter acesso quase constante aos sistemas dos clientes conforme eles adicionam produtos ou funcionários. A Microsoft disse na quinta-feira que esses clientes precisam estar vigilantes. “Nossa investigação de ataques recentes encontrou incidentes envolvendo abuso de credenciais para obter acesso, que podem vir de várias formas”, disse o diretor sênior da Microsoft, Jeff Jones. “Não identificamos nenhuma vulnerabilidade ou comprometimento do produto Microsoft ou serviços em nuvem.”

O uso de um revendedor da Microsoft para tentar entrar em uma das principais empresas de defesa digital levanta novas questões sobre quantos caminhos os hackers, que as autoridades americanas alegam estar operando em nome do governo russo, têm à sua disposição.

As vítimas conhecidas até agora incluem o rival de segurança CrowdStrike FireEye Inc e os Departamentos de Defesa, Estado, Comércio, Tesouro e Segurança Interna dos EUA. Outras grandes empresas, incluindo Microsoft e Cisco Systems Inc, disseram que encontraram software SolarWinds corrompido internamente, mas não encontraram sinais de que os hackers o usaram para variar amplamente em suas redes.

Até agora, a SolarWinds, com sede no Texas, foi o único canal confirmado publicamente para as invasões iniciais, embora as autoridades tenham alertado há dias que os hackers tinham outras maneiras de entrar.

A Reuters relatou há uma semana que produtos da Microsoft foram usados ​​em ataques. Mas as autoridades federais disseram que não o viram como um vetor inicial, e a gigante do software disse que seus sistemas não foram utilizados na campanha. (aqui) A Microsoft então sugeriu que seus clientes ainda devem ser cautelosos. No final de uma longa postagem técnica no blog na terça-feira, ele usou uma frase para mencionar que os hackers acessaram a nuvem do Microsoft 365 “de contas de fornecedores confiáveis, onde o invasor comprometeu o ambiente do fornecedor”.

A Microsoft exige que seus fornecedores tenham acesso aos sistemas cliente para instalar produtos e permitir novos usuários. Mas descobrir quais fornecedores ainda têm direitos de acesso a qualquer momento é tão difícil que a CrowdStrike desenvolveu e lançou uma ferramenta de auditoria para fazer isso. Após uma série de outras violações por meio de provedores de nuvem, incluindo um grande conjunto de ataques atribuídos a hackers apoiados pelo governo chinês e conhecidos como CloudHopper, a Microsoft este ano impôs novos controles a seus revendedores, incluindo requisitos para autenticação multifator.

A Cybersecurity and Infrastructure Security Agency e a National Security Agency não fizeram comentários imediatos.

Também na quinta-feira, a SolarWinds lançou uma atualização para corrigir as vulnerabilidades em seu principal software de gerenciamento de rede Orion após a descoberta de um segundo conjunto de hackers que tinham como alvo os produtos da empresa.

Isso ocorreu após uma postagem separada no blog da Microsoft na sexta-feira, dizendo que a SolarWinds tinha seu software como alvo de um segundo grupo de hackers, além daqueles ligados à Rússia.

A identidade do segundo conjunto de hackers, ou o grau em que eles podem ter invadido com sucesso em qualquer lugar, permanece obscuro.

A Rússia negou ter qualquer papel no hacking.