SolarWinds-hackers stalen stukken broncode Azure
Delen van de broncode van drie producten werden in de SolarWinds-hack gestolen, zegt Microsoft. Het gaat onder meer om Azure en Exchange.
Hackers die via de SolarWinds-beheersoftware toegang kregen tot het netwerk van Microsoft hebben ook (delen van) de broncodes van het bedrijf gelezen en in enkele gevallen gedownload. Dat heeft het bedrijf zelf bekendgemaakt. Volgens Microsoft werd hun netwerk echter niet gebruikt om klanten van het techbedrijf aan te vallen.
De SolarWinds-hack is ondertussen een van de grootste lekken die de VS de laatste jaren te verwerken kreeg. Bij de supply-chainaanval injecteerden de hackers eigen code in een update van de beheersoftware Orion, van SolarWinds, om een hele reeks grote bedrijven en Amerikaanse overheidsinstellingen binnen te breken.
Lees ook: Schade SolarWinds-hack dijt uit
Daaronder dus ook Microsoft, dat sinds december onderzoek voert naar wat er exact op de eigen systemen is gebeurd. In een blogpost deelt het bedrijf nu de resultaten van dat onderzoek. ‘Uit onze analyse blijkt dat een eerste bestand in onze source repository werd ingekeken aan het einde van november, en dat deze activiteiten stopten wanneer we de gehackte accounts afsloten’, staat er in het rapport. ‘We zagen nog onsuccesvolle pogingen van de agenten om bestanden aan te spreken tot begin januari, waarna de pogingen stopten.’
Microsoft drukt erop dat niet de volledige broncode op straat ligt. Het zou gaan om enkele individuele bestanden van verschillende producten, waarbij nooit alle bestanden van een product werden bekeken. Daarbovenop werd ook voor een ‘kleine hoeveelheid’ repositories de broncode gedownload, Het gaat om onderdelen van componenten voor Azure, Intune en Exchange.
Nog volgens de blog waren de agenten in kwestie op zoek naar ‘geheimen’, onder meer in de broncode, en hebben ze die niet gevonden. ‘Onze ontwikkellingspolicy verbiedt geheimen in code en we draaien ook geautomatiseerde tools die kijken of de code overeenkomt met onze regels’, aldus de blog. ‘Nadat we de ongeoorloofde toegang ontdekten, hebben we meteen een verificatieproces gestart voor de huidige en historische versies van deze repositories. We kunnen bevestigen dat ze voldoen en dat er geen live credentials in voorkomen.’
Fout opgemerkt of meer nieuws? Meld het hier