Vdori v ZDA so potekali tudi prek Microsoftovih partnerjev
Dare Hriberšek
26. dec 2020 ob 18:11:59
Medtem, ko v ZDA počasi odkrivajo vse razsežnosti največjega informacijskega napada zadnjih let na zvezne agencije, infrastrukturo in velika podjetja, so v varnostnem podjetju CrowdStrike razkrili še eno od poti, ki so jo vdiralci vsaj poskušali uporabiti za dostop do notranjih omrežij. Ta vodi prek podjetij, ki v imenu Microsofta prodajajo njihovo programsko opremo. Tudi ta imajo namreč, podobno kot že razkriti SolarWinds, pooblastila za nameščanje in vzdrževanje programske opreme Microsoftovih strank in so zato idealno kritje za nepridiprave.
V primeru napada na CrowdStrike so neznanci poskušali pridobiti dostop do njihove elektronske pošte prek neimenovanega Microsoftovega preprodajalca. Ker pa pri CrowdStrike uporabljajo druge aplikacije Office 365, ne pa tudi elektronske pošte, so dejstvo, da je nekdo poskušal vklopiti pravico do branja pošte, opazili pri Microsoftu. Kjer so menda že pred meseci zaznali nenavadne poizvedbe prek API na njihovem oblačnem računu, ki upravlja licence za MS Office. Pred tednom dni so se sicer pojavila prva opozorila, da so bili za napade morda zlorabljeni tudi Microsoftovi izdelki, vendar je prava potrditev o tem prišla šele pred dnevi, ko so na svojem blogu, povsem na koncu zapisa priznali, da "so napadalci uporabili tudi račune z visokimi privilegiji, kar jim je omogočilo uporabo APIjev ne da bi za to imeli dovoljenje aplikacije." Podobno strategijo je bilo moč opaziti že pred leti pri napadu na ameriškega trgovca Target.
Microsoft je sicer v zadnjem času zaradi številnih napadov prek oblačnih ponudnikov poostril pravila za svoje preprodajalce, med ukrepi je bila tudi uporaba večstopenjske avtentikacije.
Kdo je v ozadju tega dela napadov za zdaj še ni jasno. Nekateri viri, seznanjeni s podrobnostmi preiskave pri CrowdStriku pa poročajo, da gre za iste storilce, kot so tisti, ki so izkoristili popravke Solarwinds, torej hekerje, domnevno povezane z Rusijo.