قال المحققون إن المتسللين الروس المشتبه بهم وراء أسوأ هجوم إلكتروني أمريكي منذ سنوات استفادوا من وصول البائعين إلى خدمات شركة مايكروسوفت لاختراق أهداف ليس لديها برامج شبكة مخترقة من شركة سولارويندز.
في حين أن تحديثات برنامج Orion الخاص بـ SolarWinds كانت في السابق نقطة الدخول الوحيدة المعروفة ، قالت شركة الأمن CrowdStrike Holdings Inc إن المتسللين يوم الخميس قد حصلوا على حق الوصول إلى البائع الذي باع تراخيص Office الخاصة به واستخدموا ذلك لمحاولة قراءة البريد الإلكتروني الخاص بـ CrowdStrike.
لم تحدد على وجه التحديد المتسللين على أنهم من قاموا باختراق SolarWinds ، لكن شخصين على دراية بتحقيق CrowdStrike قالا إنهما كذلك. يستخدم CrowdStrike برامج Office لمعالجة الكلمات وليس البريد الإلكتروني. المحاولة الفاشلة ، التي تمت منذ أشهر ، تم توجيهها إلى CrowdStrike بواسطة Microsoft في 15 ديسمبر.
وقالت CrowdStrike ، التي لا تستخدم SolarWinds ، إنها لم تجد أي تأثير من محاولة التسلل ورفضت تسمية البائع.
وقال أحد الأشخاص المطلعين على التحقيق لرويترز “لقد دخلوا من خلال وصول البائع وحاولوا تمكين امتيازات قراءة البريد”. “إذا كان يستخدم Office 365 للبريد الإلكتروني ، فقد انتهت اللعبة.”
يتم بيع العديد من تراخيص برامج Microsoft من خلال جهات خارجية ، ويمكن لهذه الشركات أن تتمتع بوصول شبه دائم إلى أنظمة العملاء حيث يضيف العملاء منتجات أو موظفين.
وقالت مايكروسوفت يوم الخميس إن هؤلاء العملاء بحاجة إلى توخي اليقظة. قال جيف جونز ، مدير Microsoft ، “كشف تحقيقنا في الهجمات الأخيرة عن حوادث تنطوي على إساءة استخدام بيانات الاعتماد للوصول إلى البيانات ، والتي يمكن أن تأتي في عدة أشكال”. “لم نحدد أي ثغرات أمنية أو اختراق لمنتجات Microsoft أو خدمات السحابة”.
يثير استخدام موزع Microsoft لمحاولة اقتحام شركة دفاع رقمية كبرى أسئلة جديدة حول عدد السبل المتاحة للمتسللين ، الذين يزعم المسؤولون الأمريكيون أنهم يعملون نيابة عن الحكومة الروسية.
ومن بين الضحايا المعروفين حتى الآن منافس CrowdStrike الأمني FireEye Inc ووزارات الدفاع الأمريكية والخارجية والتجارة والخزانة والأمن الداخلي. قالت شركات كبيرة أخرى ، بما في ذلك Microsoft و Cisco Systems Inc ، إنها عثرت على برنامج SolarWinds ملوث داخليا ، لكنها لم تعثر على دلائل على أن المتسللين استخدموه في نطاق واسع على شبكاتهم.
حتى الآن ، كانت SolarWinds ومقرها تكساس هي القناة الوحيدة المؤكدة علنا لعمليات الاختراق الأولية ، على الرغم من أن المسؤولين يحذرون منذ أيام من أن المتسللين لديهم طرق أخرى.
ذكرت رويترز قبل أسبوع أن منتجات مايكروسوفت استخدمت في هجمات. لكن المسؤولين الفيدراليين قالوا إنهم لم يروا ذلك ناقلا أوليا ، وقالت شركة البرمجيات العملاقة إن أنظمتها لم تستخدم في الحملة.
ثم ألمحت Microsoft إلى أن عملائها يجب أن يظلوا حذرين. في نهاية منشور مدون فني طويل يوم الثلاثاء ، استخدم جملة واحدة للإشارة إلى رؤية المتسللين يصلون إلى Microsoft 365 Cloud “من حسابات البائعين الموثوقين حيث قام المهاجم باختراق بيئة البائع”.
تطلب مايكروسوفت من مورديها الوصول إلى أنظمة العملاء لتثبيت المنتجات والسماح للمستخدمين الجدد. لكن اكتشاف البائعين الذين ما زالوا يتمتعون بحقوق الوصول في أي وقت هو أمر صعب للغاية لدرجة أن CrowdStrike طورت وأصدرت أداة تدقيق للقيام بذلك.بعد سلسلة من الانتهاكات الأخرى من خلال موفري السحابة ، بما في ذلك مجموعة كبيرة من الهجمات المنسوبة إلى المتسللين المدعومين من الحكومة الصينية والمعروفة باسم CloudHopper ، فرضت Microsoft هذا العام ضوابط جديدة على بائعيها ، بما في ذلك متطلبات المصادقة متعددة العوامل.