Спецпроекты

У Microsoft украли исходный код Azure и Exchange

Безопасность Бизнес

Операторы атаки на SolarWinds проникли в репозитории кода Microsoft и смогли скопировать «небольшие порции» исходного кода Azure, Exchange и Intune. Глубже в сети корпорации им проникнуть не удалось.

Проблема для Azure, Intune и Exchange

Корпорация Microsoft признала, что в результате недавней кибератаки злоумышленникам могли достаться фрагменты исходного кода ряда флагманских решений корпорации. В частности, речь идет о компонентах Azure, Intune и Exchange. Об этом говорится в публикации самой Microsoft.

Взлом был связан с атакой на разработчика средств мониторинга сетей SolarWinds, клиентом которого являются Microsoft и множество других крупных компаний, а также некоторые госорганы США. Злоумышленникам удалось внедрить вредоносные компоненты в платформу ИТ-мониторинга Orion и тем самым обеспечить себе доступ в инфраструктуру организаций, пострадавших впоследствии.

Атака на SolarWinds приписывается хакерской группировке APT29, которая, как считают в США, может быть связана с российской Службой внешней разведки.

Еще 31 декабря 2020 г. Microsoft опубликовала сообщение, в котором указывалось, что злоумышленники могли получить доступ к исходникам нескольких внутренних проектов компании в конце ноября 2020 г. После того, как затронутые атакой через Orion аккаунты были перекрыты, злоумышленники еще некоторое время пытались получить доступ повторно, и эти попытки продолжались до января 2021 г.

Из Microsoft могли украсть небольшую часть кода Azure

В Microsoft утверждают, что взломщики не имели возможности ни просмотреть, ни тем более скачать целиком содержимое внутренних репозиториев, и речь идет только о нескольких отдельных файлах.

Правильные настройки

Судя по зарегистрированным поисковым запросам злоумышленников, они пытались найти секретные токены доступа для проникновения в другие системы Microsoft, однако разработчикам компании запрещается хранить их в исходном коде, так что поиски успехом не увенчались.

В компании утверждают, что злоумышленникам удалось скачать лишь «небольшое количество» исходного кода компонентов облачных решений Azure (в частности, касающихся сервисов, безопасности и идентификации), Intune и Exchange, однако других подробностей фирма не представила.

В конце 2020 г. стало известно, что неизвестные киберпреступники нашли универсальный способ проникновения в сети множества компаний. Взломав обновления ПО Orion компании SolarWinds, они интегрировали в них свой вредоносный код (бэкдор) и таким образом обеспечили себе возможность проникновения в тысячи организаций. В числе жертв хакерской атаки оказались Intel (производитель процессоров), Nvidia (производитель видеокарт), VMware (разработчик ПО для виртуализации), BelkinInternational (производитель сетевых устройств, компьютерной периферии и аксессуаров под брендами LinkSys и Belkin), Минфин и Минторг США и многие другие коммерческие и академические организации и органы власти.

«В произошедшем особой вины Microsoft нет, больше того, компании, по-видимому, удалось уберечься от куда больших проблем, чем другим жертвам атаки на SolarWinds, — отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Атаки через "цепочки поставок" относятся к числу наиболее опасных, поскольку источником угрозы оказываются пользующиеся повышенным доверием инструменты и разработки; этим и объясняется успешность атак, последовавших за взломом SolarWinds — меньше всего кто-то ожидал атак именно через их платформу».