Взлом SolarWinds: через реселлера Microsoft были украдена переписка и другие данные клиентов Azure

Хорошо скоординированная атака на инфраструктуру SolarWinds, о которой мы уже подробно писали, привела ко взлому облачных клиентов Microsoft и краже электронных писем минимум одной частной компании, как утверждают информаторы Washington Post. Взлом затронул многочисленные правительственные агентства США и корпоративные компьютерные сети.

Gerard Julien/AFP/Getty Images

По словам информаторов, вторжение, по всей видимости, произошло через корпоративного партнёра Microsoft, который занимается услугами перепродажи облачного доступа. Microsoft не прокомментировала это публично. В четверг один из руководителей технологического гиганта попытался преуменьшить серьёзность проблемы. «Наше расследование недавних атак выявило инциденты, связанные со злоупотреблением учётными данными для получения доступа, которое может иметь несколько форм, — сказал старший директор по коммуникациям Microsoft Джефф Джонс (Jeff Jones). — Мы до сих пор не выявили никаких уязвимостей и взлома продуктов или облачных служб Microsoft».

Но на днях, согласно сообщению в блоге фирмы по кибербезопасности CrowdStrike, Microsoft уведомила их о проблеме со своим посредником, который занимается лицензированием клиентов Azure. В своём сообщении CrowdStrike предупредила клиентов, что Microsoft обнаружила необычное поведение в учётной записи Azure CrowdStrike, и что была неудачная попытка прочитать электронную почту. Информаторы сообщили, что атака не использовала какие-либо уязвимости Microsoft. Сам программный гигант взломан не был — только один из его партнёров.

The Wall Street Journal

Тем не менее, эксперты по информационной безопасности считают ситуацию крайне тревожной. «Если правда, что данные клиента поставщика облачных услуг были украдены и находятся в руках какого-то злоумышленника, это очень серьёзная ситуация, — отметил Джон Рид Старк (John Reed Stark), управляющий консалтинговой фирмой и бывший руководитель отдела Комиссии по ценным бумагам и биржам. — Это должно вызывать большую тревогу внутри облачного провайдера и может повлечь целый ряд требований об уведомлении, исправлении и раскрытии информации — как внутри США, так со стороны международных клиентов».

На прошлой неделе в своём блоге Microsoft заявила, что уведомила более 40 клиентов о том, что они были взломаны. Некоторые из них были взломаны через третью сторону. Если злоумышленник взломал реселлера и похитил учётные данные, он может использовать их для получения широкого доступа к учётным записям Azure. Попав внутрь учётной записи конкретного клиента, злоумышленник имеет возможность читать и красть электронные письма, а также другую информацию. Два информатора Washington Post утверждают, что Microsoft своевременно не предупредила правительство о проблеме со взломом реселлера.

Атакованная цепочка клиентов SolarWinds (данные Microsoft)

Представитель Microsoft в беседе с журналистами охарактеризовал проблему с реселлером как вариацию прошлого взлома, а не как принципиально новую ситуацию. При этом он отказался отвечать на вопросы о том, когда фирма обнаружила проблему у торгового посредника, сколько у последнего клиентов, сколько из них было взломано, и предупреждал ли этот посредник своих клиентов. «У нас есть различные соглашения с людьми, и мы не будем делиться детальной информацией о нашем взаимодействии с конкретными партнёрами или клиентами», — отметил он.

Эксперты считают, что взлом партнёра Microsoft не освобождает программного гиганта от юридической ответственности. Когда в прошлом году хакеры украли данные более 100 миллионов владельцев кредитных карт из облака крупного банка, который пользовался услугами Amazon Web Services, клиенты подали в суд и на банк, и AWS. В сентябре федеральный судья отклонил ходатайство Amazon об исключении её из списка ответчиков, потому что «небрежное поведение» облачного провайдера предположительно сделало атаку возможной.

Жертвы взлома по секторам (данные Microsoft)

Источники в правительстве и частном секторе США сообщают, что общее количество жертв взлома SolarWinds — агентств и компаний, у которых были украдены данные, — скорее всего, составит не более нескольких сотен, а не тысяч, как предполагалось ранее. Но даже один крупный взлом агентства может иметь огромные последствия.