Mimecast发现SolarWinds黑客窃取了它的一些源代码

电子邮件安全公司Mimecast周二透露，该州资助的SolarWinds黑客闯入其内部网络，也从数量有限的存储库下载了源代码。

该公司在一份详细介绍其调查的书面报告中说：“该威胁行为人确实访问了一部分电子邮件地址和其他联系信息，以及散列和腌制的凭据。”，添加对手“访问并下载了我们有限的源代码存储库，据报道，威胁参与者与太阳林猎户座供应链攻击的其他受害者一样。”

但Mimecast表示，攻击者下载的源代码不完整，不足以构建和运行Mimecast服务的任何方面，并且没有发现威胁参与者对与分发给其客户的可执行文件相关的构建过程进行任何篡改的迹象。

1月12日，Mimecast透露，“一个复杂的威胁参与者”泄露了它提供给某些客户的数字证书，以便将其产品安全地连接到Microsoft 365（M365）Exchange。

几周后，该公司将该事件与Salar Wrad大规模开发活动捆绑在一起，注意到威胁演员访问并可能过滤了在美国和英国托管的客户创建的某些加密服务帐户凭据。

指出入侵源于通过安装了特洛伊木马的SolarWinds Orion软件更新部署的Sunburst后门，该公司表示，它观察到从初始接入点到其包含少量Windows服务器的生产网格环境的横向移动，其方式与威胁参与者的攻击模式一致。

虽然使用被盗证书的客户的确切数量仍然不得而知，但该公司在1月份表示，“我们客户的M365租户中有一小部分是被锁定的。”

据称来自俄罗斯，目前正在以多个名字追踪SolarWinds供应链攻击背后的威胁参与者，包括UNC2452（FireEye）、Dark Halo（Volexity）、SolarStorm（帕洛阿尔托42号机组）、StellarParticle（CrowdStrike）和Nobelium（微软）。

Mimecast曾拉拢Mandiant领导其事故应对工作，并表示本月早些时候结束了调查。

作为一系列应对措施的一部分，该公司还指出，它完全更换了受损的Windows服务器，升级了所有存储凭证的加密算法强度，对所有存储的证书和加密密钥实施了增强的监控，并已停用SolarWinds Orion，支持NetFlow监控系统。