Den mye omtalte hackingen av det amerikanske programvareselskapet Solarwinds rammet dypt og bredt, og detaljer om angrepet har fortsatt å dukke opp lenge etter de første rapportene. Nå er det registrert atter nye aktiviteter fra bakmennene.
Før helgen kom Microsoft med en ny oppdatering om sin ennå pågående Solarwinds-etterforskning, og i den kan selskapet opplyse at de har oppdaget flere angrep den siste tiden.
Angrep Microsofts kundestøtte
Det mest bemerkelsesverdige denne gangen er at Solarwinds-hackerne skal ha angrepet selskapets egen kundestøtte-tjeneste.
– Som ledd i vår etterforskning av denne pågående aktiviteten oppdaget vi også informasjonsstjelende skadevare på en maskin som hører til en av våre kundestøtteagenter med tilgang til grunnleggende kontoinformasjon til en lite antall av våre kunder, skriver Microsoft.
Ifølge selskapet brukte bakmennene de stjålne dataene til å utføre svært målrettede angrep, men responsen skal ha vært rask. Microsoft bedyrer at kundestøtteagentene deres er konfigurert med det minste antallet tillatelser som er nødvendig for å utføre oppgavene sine og at alle kunder som er rammet, har blitt kontaktet.
Solarwinds-hackerne, som nå er kjent under navnet Nobelium, har imidlertid også uført andre angrep den siste tiden. Microsoft sier at mesteparten av angrepene er blitt rettet mot IT-selskaper og statlige institusjoner, hvorav omtrent halvparten av målene befinner seg i USA.
Til sammen er imidlertid institusjoner i hele 36 land, deriblant flere i Europa, rammet av disse seneste aktivitetene, ifølge Microsofts sikkerhetsforskere.
Kun én måned siden forrige angrepsbølge
Kampanjen skal likevel ikke ha gjort stor skade, og flertallet av angrepene har angivelig ikke medført vellykket kompromittering av målene.
Angrepene skal i stor grad ha vært av den såkalte «brute force»-typen, en teknikk som i korte trekk innebærer å «gjette» et stort antall passord på kort tid i et forsøk på å bryte seg inn i systemene.
Dette er en teknikk som er relativt enkel å beskytte seg mot gjennom for eksempel tofaktor-autentisering, som Microsoft anbefaler å benytte seg av for å forebygge denne type kampanjer.
Det er kun én måned siden Microsoft sist meldte om nye angrep utført av Solarwinds-gjengen. Da dreide det seg om en bølge av angrep rettet mot flere tusen e-postkontoer tilhørende rundt 150 organisasjoner i 24 land – hvorav USA er landet med flest ofre.
Angrepene ble utført ved at hackerne skaffet seg tilgang til e-posttjenesten som benyttes av det amerikanske, statlige bistandsbyrået USAID og deretter distribuerte e-poster med en ondsinnet fil som installerte bakdører på de infiserte systemene.
Microsoft: – Solarwinds-hackerne fikk tilgang til kildekoden vår