قراصنة SolarWinds استهدفوا Malwarebytes

كشفت شركة الأمن السيبراني الأمريكية Malwarebytes أنها تعرضت للاختراق من المجموعة نفسها التي اخترقت شركة برمجيات تكنولوجيا المعلومات SolarWinds.

وتقول الشركة: إن اقتحامها لا علاقة له بحادث SolarWinds لأنها لا تستخدم أيًا من برامج SolarWinds في شبكتها الداخلية، التي كانت بمثابة مدخل المتسللين إلى أنظمة جميع الشركات والوكالات الفيدرالية التي قاموا باختراقها.

ووفقًا لشركة الأمن السيبراني، فقد استغلت المجموعة منتج حماية البريد الإلكتروني غير النشط داخل مستأجر Office 365 للوصول إلى أنظمتها الدخلية.

واكتشفت الشركة التطفل للمرة الأولى بعد تلقت اتصالًا من مركز استجابة أمان مايكروسوفت في 15 ديسمبر بشأن نشاط مشبوه من تطبيق تابع لجهة خارجية في بيئة Office 365 الخاصة بها.

وكان هذا النشاط متسقًا مع التكتيكات والتقنيات والإجراءات التي استخدمها الفاعلون وراء هجمات SolarWinds.

وتؤكد Malwarebytes لمستخدمي برامج مكافحة البرامج الضارة أنها أجرت تحقيقًا مكثفًا وقررت أن المهاجمين لم يتمكنوا من الوصول إلا إلى مجموعة فرعية محدودة من رسائل البريد الإلكتروني الداخلية للشركة.

وعند فحص التعليمات البرمجية المصدرية الخاص بها وإعادة هندسة برامجها، لم تجد أي دليل على الوصول غير المصرح به.

وتؤكد Malwarebytes أنها لا تستخدم خدمات Azure السحابية من مايكروسوفت وأن برنامجها يظل آمنًا للاستخدام.

وبدأ اختراق SolarWinds في وقت ما في شهر مارس بعد أن اخترق المهاجمون أدوات إدارة شبكة Orion الخاصة بالشركة.

واستخدموا ثغرة أمنية في هذا المنتج للتسلل إلى أنظمة عملاء SolarWinds، بما في ذلك مايكروسوفت ووزارة العدل ووزارة الطاقة الأمريكية والإدارة الوطنية للأمن النووي.

ونشر ممثلون من مكتب التحقيقات الفيدرالي ووكالة الأمن القومي ووكالة الأمن السيبراني وأمن البنية التحتية حديثًا بيانًا مشتركًا وصف روسيا بأنها الكيان الأكثر احتمالًا وراء عمليات الاختراق.

وأصبحت Malwarebytes، بعد الكشف الجديد، شركة الأمن السيبراني الرابعة الكبرى التي يجري استهدافها من مجموعة UNC2452 أو Dark Halo، وتشمل الشركات المستهدفة سابقًا مايكروسوفت و FireEye و CrowdStrike.