E-mail-managementprovider Mimecast bevestigt dat een hackers toegang hadden tot het netwerk en klanten bespioneerden. De aanval werd uitgevoerd door dezelfde hackersgroep die ook verantwoordelijk is voor de SolarWinds aanval. Volgens Mimecast gaat het om een gerichte aanval die bedoeld is om een klein deel van de klanten te bespioneren.
De hackers kwamen binnen in het netwerk van Mimecast via de SolarWinds Orion update. Via een supply-chain-aanval konden de hackers hun malafide code injecteren in de update, die SolarWinds vervolgens uitrolde naar zijn klanten. De aanvallers voegden onder meer Sunburst malware toe aan de update. Zo installeerden ze een achterdeur om op een later moment toegang te krijgen tot het systeem.
Nu blijkt dat de hackers gebruik hebben gemaakt van de achterdeur in het systeem van Mimecast. Via de Mimecast production-grid omgeving baanden ze zich een weg naar een Mimecast-certificaat dat klanten gebruiken om verschillende Microsoft 365 Exchange-diensten te authenticeren.
Geen bewijs van verdere gevolgen
Microsoft kreeg als eerste lucht van de inbraak en stelde Mimecast op de hoogte. Na de aanval verder te onderzoeken, ontdekte Mimecast dat aanvallers het certificaat gebruikten om via Mimecast IP-adressen te verbinden met een klein aantal Microsoft 365 gebruikers.
De hackers kregen toegang tot e-mailadressen, contactinformatie en versleutelde inloggegevens. Ook downloadden de aanvallers een klein aantal broncode-repositories. Mimecast laat echter weten dat er geen bewijs is van modificaties. Waarschijnlijk heeft de aanval geen verdere impact op de producten van het bedrijf. Ook is er geen bewijs dat de aanvallers toegang hadden tot de e-mails en archieven die Mimecast bewaart voor zijn klanten.
Uiterste precisie
De SolarWinds supply chain-aanval werd afgelopen december ontdekt. Aanvallers infecteerden een update van de Orion-software, die vervolgens werd geïnstalleerd bij 18.000 klanten.
Slechts een klein deel van de SolarWinds-klanten, waaronder Mimecast, werd geconfronteerd extra malware waardoor aanvallers verder konden graven in het geïnfecteerde netwerk. En hoewel duizenden Mimecast klanten een aangetast certificaat gebruikten, waren minder dan 10 van hen daadwerkelijk een doelwit.
De aanval op Mimecast werd met uiterste precisie uitgevoerd. Door het aantal doelwitten te beperken en de aanvallen te lanceren vanuit locaties in de VS, zorgden de hackers ervoor dat hun aanvallen lange tijd onontdekt bleven.