Office 365 lijkt een rol te hebben gespeeld bij de grootschalige aanvalscampagne op gebruikers van SolarWinds Orion platform.
Bij de aanval op Orion zijn aanvallers erin geslaagd een trojan te verwerken in de officiële versie van de Orion software. Deze malware gaf hen toegang tot een groot aantal publieke en private organisaties. SolarWinds meldde eerder deze week dat zo’n 18.000 klanten een kwetsbare versie van Orion hebben geïnstalleerd.
Reuters meldt op basis van een anonieme bron dat de aanvallers achter de grootschalige aanvalscampagne op gebruikers van SolarWinds Orion platform hadden toegang tot de Microsoft Office 365-accounts van twee slachtoffers.
Lees ook: Massale cyberaanval VS ontdekt na verdachte inlogactie.
Aanvallers konden maandenlang meelezen met e-mailverkeer via Office 365 van de National Telecommunications and Information Administration, onderdeel van het Amerikaanse ministerie van Handel. Dit was naar verluid mogelijk door de authentificatie van het platform om de tuin te leiden.
Ook Office 365-accounts van SolarWinds gekraakt
SolarWinds zelf meldt daarnaast aan de SEC dat de aanvallers eveneens toegang hebben verkregen tot Office 365-accounts van de organisatie. SolarWinds onderzoekt samen met Microsoft of klant- of personeelsgegevens hierbij zijn buitgemaakt.
Het Microsoft Security Research Center meldde afgelopen zondag in een blogpost al dat de aanvallers erin zijn geslaagd een token voor Azure te vervalsen om extra rechten te verkrijgen in Azure Active Directory. Ook zijn gestolen inloggegevens misbruikt om accounts zonder multi-factor authentificatie aan te vallen.
Domeinnaam overgenomen
Een belangrijke domeinnaam die door de aanvallers is misbruikt om met getroffen systemen te communiceren is maandag door Microsoft overgenomen, meldt beveiligingsonderzoeker Brian Krebs van KrebsOnSecurity.
Microsoft neemt vaker de controle over domeinnamen die bij omvangrijke cyberaanvallen worden misbruikt over. Krebs verwacht dat Microsoft hierdoor op korte termijn meer inzicht heeft in hoeveel SolarWinds-klanten exact zijn getroffen. Maatregelen die getroffen klanten echter nemen om toegang tot deze malafide domeinen te blokkeren kunnen het zicht dat Microsoft hierop krijgt echter beperken.
CRN heeft Microsoft gevraagd of de aanvallers ook toegang hebben weten te krijgen tot Microsoft zelf en hoe groot de rol van Microsoft-technologie was bij de aanval. Het bedrijf wil deze vragen niet beantwoorden.
In samenwerking met Dutch IT-Channel.
