Mimecast说Solarwinds黑客破坏了网络并在客户身上窥探

电子邮件管理提供商MIMecast已确认，用于间谍其客户的网络入侵是由负责Solarwinds供应链攻击的相同高级黑客进行的网络入侵。美国智能机构所说，这是俄罗斯起源可能的黑客，使用了Solarwinds Orion软件的后门更新来定位少数Mimecast客户。利用Sunburst恶意软件潜入更新，攻击者首先获得了对MimeCast生产网格环境的一部分的访问权限。然后，他们访问了一些客户用来验证各种Microsoft 365 Exchange Web服务的MimeCast颁发的证书。

使用Microsoft首次发现违反并报告它的Mimecast，公司调查人员发现威胁演员然后将证书从非MimeCast IP地址范围内使用该证书“连接到我们的共同客户M365租户的低单位数。 。“

黑客还访问了电子邮件地址，联系信息和“加密和/或哈希德和盐凭证”。还下载了有限数量的源代码存储库，但Mimecast表示没有对公司产品进行修改或影响的证据。该公司继续说，没有证据表明黑客访问了电子邮件或档案内容Mimecast代表其客户持有。

虽然证据显示，此证书仅用于仅针对少数客户来瞄准较少的客户，但我们迅速制定了一个计划，以减轻所有使用证书的客户的潜在风险。我们提供了新的证书连接，并通过电子邮件，应用程序通知和出站呼叫建立了新的证书连接，并通过电子邮件，应用程序通知和出站拨打来拨打了对新连接的预防步骤。我们的公共博客帖子提供了此事件阶段的可见性。

我们与Microsoft协调，确认没有进一步未经授权使用受损的MimeCast证书，并与客户和合作伙伴合作以迁移到新的证书连接。一旦我们的大部分客户都实施了新的证书连接，Microsoft在我们的请求中禁用了受损证书。

Solarwinds供应链攻击在12月来了光明。攻击者通过感染奥斯汀，德克萨斯州，公司的软件构建和分销系统，并使用它来推出18,000个Solarwinds客户的更新来推出更新。 Mimecast是收到后续恶意软件的少数客户之一，使攻击者更深入地挖掘受感染的网络以访问特定的感兴趣的内容。白宫官员表示，至少有九个联邦机构和100家私营公司被袭击袭击，未知几个月。

证书妥协允许黑客读取和修改加密数据，因为它在Internet上旅行。为此，黑客必须首先获得监控进出目标网络的连接的能力。通常，证书妥协需要访问存储私有加密密钥的高度强化存储设备。该访问通常需要深度级别的黑客或内幕访问。

强调供应链攻击是多么外科，Mimecast是获得接受后续攻击的Solarwinds客户的小百分比。 反过来，几千名Mimecast客户认为已经使用受损证书的客户，实际上是少于10的。 限制接收后续恶意软件的目标数量，并从美国的服务推出攻击是黑客往往被发现其操作的两种方式。 当Mimecast首次公开了1月份的证书妥协时，与Solarwinds攻击部分的相似性产生了猜测这两个事件。 星期二的Mimecast帖子是第一次正式确认该联系。