Mimecast ha chiuso le indagini a seguito del suo coinvolgimento nell'attacco alla supply chain di Solar Winds.  Ha appurato che gli attaccanti hanno avuto accesso alla rete aziendale tramite il famigerato aggiornamento infetto della piattaforma Orion, e da lì hanno messo le mani ad alcuni repository di codice sorgente. La buona notizia è che, fortunatamente, hanno scaricato una porzione di codice troppo piccola per poter essere di qualche utilità. 

Mimecast produce una nota e apprezzata piattaforma di gestione delle email in cloud. Fin dall'inizio della vicenda Solar Winds ha condotto attente indagini per approfondire il suo coinvolgimento. Nel corso delle settimane ha dimostrato grande trasparenza, con report puntuali e dettagliati di ogni fase d'indagine. L'ultimo report in ordine di tempo è quello conclusivo. 

Scorribanda fra i repository

Era già stato appurato che gli attaccanti dietro a Solar Winds avessero avuto accesso alla rete di Mimecast. Ora si è chiarito che hanno scaricato alcuni repository di codice sorgente e anche alcuni indirizzi email, informazioni di contatto e credenziali crittografate di alcuni clienti. È però improbabile che il bottino possa comportare conseguenze negative per i clienti. 

L'azienda scrive infatti che "il codice sorgente scaricato dall'attaccante era incompleto e sarebbe insufficiente per costruire ed eseguire qualsiasi aspetto del servizio Mimecast". Inoltre, Mimecast si dice certa che il codice sorgente delle sue applicazioni non sia stato in alcun modo maneggiato o modificato. 

Solar Winds e Mimecast 

Mimecast è uno dei 18.000 clienti Solar Winds colpiti dall'attacco. Ha scoperto il suo coinvolgimento a gennaio, quando Microsoft le ha notificato una compromissione relativa ai certificati utilizzati per autenticare i prodotti Mimecast negli ambienti Microsoft 365 Exchange Web Services (EWS). Insieme ai certificati, gli aggressori hanno avuto accesso alle informazioni per la connessione al server clienti. 

Microsoft ha scoperto che i cyber criminali hanno usato i certificati compromessi per accedere illegalmente alle reti di alcuni clienti in comune con Mimecast. L'indagine interna che è seguita ha portato Mimecast ad accertare che circa il 10% dei suoi clienti aveva utilizzato certificati compromessi. Di questi, solo 10 avevano acceduto in maniera illegale ai loro ambienti Microsoft 365 tramite certificati compromessi. 

In via precauzionale, Mimecast ha chiesto a tutti i clienti di eliminare la connessione esistente al tenant M365 e di utilizzarne una nuova con le credenziali appena emesse dell'azienda.

A quel punto Mimecast, come molte altre aziende, ha chiesto l'aiuto di FireEye Mandiant per proseguire con indagini più approfondite. È emerso che gli attaccanti si sono spostati lateralmente nell'ambiente di produzione che conteneva "un piccolo numero" di server Windows. Qui hanno estratto le credenziali dell'account di servizio, con cui avrebbero potuto ottenere l'accesso a sistemi on-premise e in cloud appartenenti a clienti comuni di Microsoft e Mimecast. 

Fortunatamente le credenziali in questione erano crittografate e gli esperti non hanno trovato alcuna prova che siano state successivamente decifrate e abusate in alcun modo. 

Insegnamenti importanti

Nonostante il buon esito delle indagini, Mimecast ha fatto tesoro di questa esperienza negativa e ha attuato una serie di importanti cambiamenti nella cyber security. Ha ribadito a tutti i clienti la necessità di reimpostare le credenziali di connessione del server utilizzate sulla piattaforma Mimecast. Ha ripristinato le credenziali di accesso crittografate, ha modificato tutti i certificati e le chiavi di crittografia e ha implementato un monitoraggio più attento di tutti i suoi certificati e chiavi di crittografia. 

Inoltre ha disattivato la piattaforma SolarWinds Orion, ha cambiato le credenziali per tutti i dipendenti e ha implementato l'autenticazione a due fattori per i dipendenti che richiedono l'accesso ai sistemi di produzione. Non ultimo, ha implementato misure per garantire che il codice sorgente sia sicuro e non possa essere manomesso. Attualmente sta lavorando allo sviluppo di un nuovo meccanismo di autenticazione e connessione basato su OAuth tra ambienti Microsoft e Mimecast.