متسللون روس يستخدمون بائعي مايكروسوفت لخرق العملاء
قال محققون إن المتسللين الروس المشتبه بهم وراء أسوأ هجوم إلكتروني أمريكي منذ سنوات استفادوا من وصول البائعين إلى خدمات شركة مايكروسوفت لاختراق أهداف ليس لديها برامج شبكة مخترقة من شركة سولارويندز.
بينما كانت تحديثات برنامج Orion الخاص بـ SolarWinds هي نقطة الدخول الوحيدة المعروفة سابقًا، قالت شركة الأمان CrowdStrike Holdings Inc إن المتسللين قد حصلوا على حق الوصول إلى البائع الذي باع تراخيص Office الخاصة به واستخدموا ذلك لمحاولة قراءة البريد الإلكتروني الخاص بـ CrowdStrike.
لم تحدد على وجه التحديد المتسللين على أنهم من قاموا باختراق SolarWinds، لكن شخصين على دراية بتحقيق CrowdStrike قالا إنهما كذلك، يستخدم CrowdStrike برامج Office لمعالجة الكلمات وليس البريد الإلكتروني، المحاولة الفاشلة، التي تمت قبل أشهر، تم توجيهها إلى CrowdStrike بواسطة Microsoft في 15 ديسمبر.
قالت CrowdStrike، التي لا تستخدم SolarWinds، إنها لم تجد أي تأثير من محاولة التسلل ورفضت تسمية البائع.
وقال أحد الأشخاص المطلعين على التحقيق لرويترز: "لقد دخلوا من خلال وصول الموزع وحاولوا تمكين امتيازات قراءة البريد، إذا كانت تستخدم Office 365 للبريد الإلكتروني، فقد انتهت اللعبة".
يتم بيع العديد من تراخيص برامج Microsoft من خلال جهات خارجية، ويمكن لهذه الشركات أن تتمتع بوصول شبه دائم إلى أنظمة العملاء حيث يضيف العملاء منتجات أو موظفين، وقالت مايكروسوفت إن هؤلاء العملاء بحاجة إلى توخي اليقظة.
قال جيف جونز، مدير Microsoft: "لقد كشف
يثير استخدام موزع Microsoft لمحاولة اقتحام شركة دفاع رقمية كبرى أسئلة جديدة حول عدد السبل المتاحة للمتسللين، الذين يزعم المسؤولون الأمريكيون أنهم يعملون نيابة عن الحكومة الروسية.
ومن بين الضحايا المعروفين حتى الآن منافس CrowdStrike الأمني FireEye Inc ووزارات الدفاع الأمريكية والخارجية والتجارة والخزانة والأمن الداخلي، قالت شركات كبيرة أخرى، بما في ذلك Microsoft و Cisco Systems Inc، إنها عثرت على برنامج SolarWinds ملوث داخليًا، لكنها لم تعثر على دلائل على أن المتسللين استخدموه في نطاق واسع على شبكاتهم.
حتى الآن، كانت SolarWinds ومقرها تكساس هي القناة الوحيدة المؤكدة علنًا لعمليات الاختراق الأولية، على الرغم من أن المسؤولين يحذرون منذ أيام من أن المتسللين لديهم طرق أخرى.