Gli hacker dietro una delle peggiori violazioni nella storia degli Stati Uniti hanno letto e scaricato del codice sorgente Microsoft, ma non ci sono prove che siano stati in grado di accedere ai server di produzione o ai dati dei clienti, ha detto Microsoft giovedì. Il produttore di software ha anche affermato di non aver trovato prove che gli hacker abbiano utilizzato il compromesso Microsoft per attaccare i clienti.
Microsoft ha rilasciato questi risultati dopo aver completato un’indagine iniziata a dicembre, dopo aver appreso che la sua rete era stata compromessa. La violazione faceva parte di un attacco ad ampio raggio che ha compromesso il sistema di distribuzione del software di gestione della rete Orion di SolarWinds, ampiamente utilizzato, e ha inviato aggiornamenti dannosi a Microsoft e a circa 18.000 altri clienti.
Gli hacker hanno quindi utilizzato gli aggiornamenti per compromettere nove agenzie federali e circa 100 aziende del settore privato, ha detto la Casa Bianca mercoledì . Il governo federale ha affermato che gli hacker erano probabilmente sostenuti dal Cremlino.
In un post giovedì mattina, Microsoft ha detto di aver completato le indagini sull’hacking della sua rete.
“La nostra analisi mostra che la prima visualizzazione di un file in un repository di origine è stata alla fine di novembre e si è conclusa quando ci siamo assicurati gli account interessati”, afferma il rapporto di giovedì. “Abbiamo continuato a vedere tentativi di accesso falliti da parte dell’attore fino all’inizio di gennaio 2021, quando i tentativi si sono interrotti”.
La stragrande maggioranza del codice sorgente non è mai stata letta e, per quei repository a cui si accedeva, solo “pochi” singoli file sono stati visualizzati come risultato di una ricerca nel repository, ha affermato la società. Non è stato possibile accedere a tutti i repository per un determinato prodotto o servizio, ha aggiunto la società.
Per un numero “piccolo” di archivi, c’era un accesso aggiuntivo, incluso il download del codice sorgente. I repository interessati contenevano codice sorgente per:
- un piccolo sottoinsieme di componenti di Azure (sottoinsiemi di servizio, sicurezza, identità)
- un piccolo sottoinsieme di componenti di Intune
- un piccolo sottoinsieme di componenti di Exchange
Il rapporto di giovedì proseguiva affermando che, in base alle ricerche eseguite dagli hacker sui repository, il loro intento sembrava essere quello di scoprire “segreti” inclusi nel codice sorgente.
“La nostra politica di sviluppo proibisce i segreti nel codice e utilizziamo strumenti automatizzati per verificare la conformità”, hanno scritto i funzionari dell’azienda. “A causa dell’attività rilevata, abbiamo immediatamente avviato un processo di verifica per i rami attuali e storici dei repository. Abbiamo confermato che i repository rispettavano e non contenevano credenziali di produzione live “.
La campagna di hacking è iniziata non più tardi di ottobre 2019, quando gli aggressori hanno utilizzato il sistema di compilazione del software SolarWinds in una corsa di prova. La campagna non è stata scoperta fino al 13 dicembre, quando la società di sicurezza FireEye, a sua volta vittima, ha rivelato per la prima volta il compromesso di SolarWinds e il conseguente attacco della catena di fornitura del software ai suoi clienti. Altre organizzazioni colpite includevano Malwarebytes , Mimecast e i dipartimenti statunitensi di energia, commercio, tesoreria e sicurezza nazionale.