A gigante do software afirma ter visto “atividades incomuns” em algumas contas que a levaram a descobrir a violação
Segundo artigo de Robert McMillan publicado pelo Wall Street Jornal, atualizado em 31 de dezembro de 2020…
Os hackers ligados à Rússia por trás de uma invasão cibernética generalizada em sistemas corporativos e governamentais dos EUA foram capazes de acessar sistemas internos dentro da Microsoft Corp. e visualizar o código-fonte interno, usado para construir produtos de software, disse a empresa na quinta-feira.
A Microsoft já havia confirmado que baixou um software malicioso do fornecedor SolarWinds Corp. que foi modificado pelos hackers.
A divulgação de quinta-feira é a primeira indicação de que os hackers conseguiram acessar sistemas internos da Microsoft.
“Detectamos atividades incomuns com um pequeno número de contas internas e, após análise, descobrimos que uma conta foi usada para visualizar o código-fonte em vários repositórios de código-fonte”, disse a Microsoft em um comunicado.
Esta conta comprometida foi capaz de visualizar o código-fonte da Microsoft, mas não fez alterações, disse a empresa.
A divulgação da Microsoft levanta o espectro de que os hackers podem ter visado e comprometido outras empresas de tecnologia também, disse Sherri Davidoff, presidente-executivo da consultoria de segurança LMG Security LLC. “É por isso que esses hackers estão perseguindo essas empresas”, disse ela. “Eles não querem acesso a apenas uma empresa. Eles querem acesso a tudo.”
Um porta-voz da Microsoft se recusou a dizer quais produtos ou sistemas internos foram afetados pela intrusão.
A empresa “não encontrou evidências de acesso a serviços de produção ou dados de clientes” e “nenhuma indicação de que nossos sistemas foram usados para atacar terceiros”, disse a empresa.
Leia o artigo completo no WST.
Fonte: WSJ
Atualização da Microsoft Internal Solorigate Investigation
Conforme publicado dia 31 de dezembro de 2020 pela Microsoft em seu blog:
“Como dissemos em nosso blog recente , acreditamos que o incidente de Solorigate é uma oportunidade de trabalhar juntos de maneiras importantes, para compartilhar informações, fortalecer as defesas e responder a ataques. Como outros clientes da SolarWinds, temos procurado ativamente por indicadores do ator Solorigate e queremos compartilhar uma atualização de nossa investigação interna em andamento.
Nossa investigação em nosso próprio ambiente não encontrou evidências de acesso a serviços de produção ou dados de clientes. A investigação, que está em andamento, também não encontrou indicações de que nossos sistemas foram usados para atacar outras pessoas .
Conforme relatamos anteriormente, detectamos aplicativos mal-intencionados da SolarWinds em nosso ambiente, que isolamos e removemos.
Depois de investigar mais, agora podemos relatar que não encontramos evidências dos TTPs comuns (ferramentas, técnicas e procedimentos) relacionados ao abuso de tokens SAML falsificados contra nossos domínios corporativos.
Nossa investigação, entretanto, revelou tentativas de atividades além da simples presença de código malicioso SolarWinds em nosso ambiente. Essa atividade não colocou em risco a segurança de nossos serviços ou de quaisquer dados de clientes, mas queremos ser transparentes e compartilhar o que estamos aprendendo ao combater o que acreditamos ser um ator estadual muito sofisticado.
Detectamos atividade incomum com um pequeno número de contas internas e, após análise, descobrimos que uma conta foi usada para visualizar o código-fonte em vários repositórios de código-fonte.
A conta não tinha permissão para modificar nenhum código ou sistema de engenharia e nossa investigação confirmou que nenhuma alteração foi feita. Essas contas foram investigadas e corrigidas.
Na Microsoft, temos uma abordagem de código-fonte interno – o uso de práticas recomendadas de desenvolvimento de software de código-fonte aberto e uma cultura de código-fonte aberto – para tornar o código-fonte visível na Microsoft.
Isso significa que não contamos com o sigilo do código-fonte para a segurança dos produtos e nossos modelos de ameaça pressupõem que os invasores tenham conhecimento do código-fonte. Portanto, visualizar o código-fonte não está vinculado à elevação do risco.
Assim como acontece com muitas empresas, planejamos nossa segurança com uma filosofia de “suposição de violação” e uma camada de proteções e controles de defesa em profundidade para impedir os invasores antes que eles obtenham acesso. Encontramos evidências de tentativas de atividades que foram frustradas por nossas proteções, portanto, queremos reiterar o valor das práticas recomendadas da indústria, conforme descrito aqui , e implementar estações de trabalho de acesso privilegiado (PAW)como parte de uma estratégia para proteger contas privilegiadas. Forneceremos atualizações adicionais se e quando descobrirmos novas informações para ajudar a informar e capacitar a comunidade.
À medida que aprendemos mais com nossa própria investigação interna e ajudando os clientes, continuaremos a aprimorar nossos produtos de segurança e a compartilhar esses aprendizados com a comunidade.
Para obter informações e orientações atualizadas, visite nosso centro de recursos em https://aka.ms/solorigate“.
Fonte: Blog Microsoft
US Agencies and FireEye Were Hacked Using SolarWinds Software Backdoor
The SolarWinds Breach Reinforces Why Boards And Audit Committees Need More Tech Expertise
A Cybersecurity Checklist For 2021: 6 Ways To Help You Protect Yourself In Coming Year
Ano novo, velhos ataques de ransomware, por Daniela Costa da Arcserve