SolarWinds : les attaquants se sont aussi intéressés au code source de Mimecast

Victime d’une intrusion en janvier, Mimecast a découvert que les attaquants avaient emporté plus qu’un simple certificat numérique. Dans un rapport d’incident mis à jour ce mardi 16 mars, ce spécialiste de sécurité de la messagerie électronique a indiqué que l’enquête sur la brèche, menée par Mandiant, était terminée et avait déterminé quelques nouveaux détails, dont le vol de certains codes sources de ses produits.

L’éditeur a révélé pour la première fois la compromission d’un certificat numérique utilisé pour les services Web de Microsoft Exchange le 12 janvier, l’attribuant à une menace sophistiquée. Il n’a pas immédiatement fait le lien entre l’incident et les attaques SolarWinds, qui ont causé plusieurs victimes de premier plan depuis la fin 2020.

Mais, plus tard dans le courant du mois de janvier, l’éditeur a révélé que l’attaque avait été commise par les mêmes acteurs à l’origine des attaques SolarWinds, mais sans préciser comment son système d’information avait été infiltré ni à quoi les attaquants avaient accédé.

Désormais, Mimecast confirme que les attaquants ont utilisé une porte dérobée dans la plateforme SolarWinds Orion. La société a également découvert que le certificat compromis était lié à plusieurs attaques SolarWinds dans d’autres organisations : « notre enquête a déterminé que l’intrusion initiale résultait du malware SUNBURST, la porte dérobée présente dans la version compromise du logiciel SolarWinds Orion que nous avions précédemment utilisée dans notre environnement. […] Le déplacement latéral à partir du point d’accès initial vers ces serveurs est conforme au mécanisme décrit par Microsoft et d’autres organisations qui ont documenté le schéma d’attaque de cet acteur malveillant ».

L’enquête a déterminé que seul un petit nombre de clients ont été attaqués par le biais du certificat compromis.

Heureusement, l’enquête a déterminé que seul un petit nombre de clients ont été attaqués par le biais du certificat compromis : « Microsoft nous a informés que l’acteur malveillant a utilisé le certificat pour se connecter à un faible nombre de clients M365, à un chiffre, parmi nos clients communs, à partir de plages d’adresses IP hors Mimecast ».

Lors de sa conférence téléphonique sur les résultats du troisième trimestre de son exercice fiscal, en février, Peter Bauer, PDG de Mimecast, a déclaré que « cinq clients environ » avaient été touchés par le certificat compromis.

En outre, l’enquête finale a révélé que les attaquants ont volé du code source. Le 31 décembre, Microsoft a confirmé que les pirates avaient vu, mais n’avaient pas modifié ou obtenu, de code source. Dans son cas, Mimecast a déclaré que l’attaquant a consulté et téléchargé un nombre limité de ses dépôts de sources, mais l’enquête n’a trouvé aucun indice que des modifications aient été apportées aux produits. Enfin, Mimecast a déclaré qu’il n’y a aucune preuve que l’assaillant ait accédé au contenu des emails ou des archives des clients.

À la lumière de l’enquête, Mimecast a déclaré avoir mis hors service SolarWinds Orion et l’avoir remplacé par le système de surveillance NetFlow de Cisco. L’éditeur a également indiqué avoir ajouté une fonctionnalité supplémentaire de surveillance de la sécurité des hôtes dans son environnement, remplacé tous les serveurs compromis et changé toutes les informations d’identification de ses collaborateurs, des systèmes et des comptes administratifs.