Mimecast, SolarWinds 해커들에 소스코드 일부 도난 당해

 

 

Mimecast: SolarWinds hackers stole some of our source code

 

이메일 보안 기업인 Mimecast가 SolarWinds 해커들이 올해 초 자사 네트워크에 침투해 일부 저장소에서 소스코드를 다운로드했다고 밝혔습니다.

 

공격자들은 Mimecast의 네트워크를 해킹하기 위해 Sunburst 백도어를 사용했습니다. 이는 SolarWinds 해커들이 SolarWinds Orion IT 모니터링 플랫폼의 자동 업데이트 메커니즘을 해킹해 약 18,000명의 고객들에게 배포한 악성코드입니다.

 

소스코드 중 일부 도난당해

 

Mimecast는 보고서를 통해 아래와 같이 밝혔습니다.

 

“공격자들은 Sunburst 백도어를 진입점으로 삼아 Mimecast에서 발행한 특정 인증서와 관련 고객 서버 연결 정보에 접근할 수 있었습니다. 또한 공격자는 이메일 주소, 기타 연락처 정보와 암호화되었거나 해싱 및 솔트된 크리덴셜에 접근했습니다. 제한된 수의 소스코드 저장소에 접근 및 다운로드했지만, 소스코드가 수정되었다는 증거는 찾지 못했으며 제품에는 영향을 미치지 않은 것으로 생각됩니다.”

 

회사는 공격자가 유출한 소스코드가 완전하지 못하고, 정상적으로 동작하는 Mimecast 서비스 버전을 개발하기에는 불충분하다고 밝혔습니다.

 

“공격자가 우리의 소스코드를 수정한 것 같지는 않습니다. 고객이 배포한 모든 Mimecast 소프트웨어에 대한 포렌식 분석 결과 Mimecast 배포 실행 파일의 빌드 프로세스는 변경되지 않았음을 발견했습니다.”

 

SolarWinds 해커는 지난 1월 회사가 처음 공개한대로 마이크로소프트 365 클라우드 동기화 서버 작업을 보호하는데 사용되는 마이크로소프트 발행 인증서를 훔친 후 소수의 마이크로소프트 365 고객만을 노렸습니다.

 

Mimecast가 인증서를 도난 당한 고객의 정확한 수는 공개하지 않았지만, 회사는 고객의 약 10퍼센트가 ‘이 연결을 사용’한다고 밝혔습니다.

 

Mimecast의 제품은 약 3.6만명 이상의 고객이 사용하고 있으며, 이 중 잠재적으로 영향을 받은 고객은 약 10%인 3,600명 정도입니다.

 

조사 결과, 소수 윈도우 서버가 포함된 제품 그리드 환경의 한 부분에서 의심스러운 활동이 포착되었습니다. 초기 액세스 포인트에서 이 서버로의 측면 이동은 마이크로소프트 및 기타 조직에서 문서호환 공격자의 공격 패턴 메커니즘과 일치합니다.

공격자가 윈도우 환경을 사용하고, 미국과 영국에 거주하는 고객이 생성한 암호화된 특정 서비스 계정의 크리덴셜을 쿼리 및 추출하는 것으로 추정됩니다.

이러한 자격 증명은 Mimecast 테넌트에서 LDAP, Azure Active Directory, Exchange Web Services, POP3 journaling, SMTP 인증 딜리버리 루트와 같은 온-프레미스 및 클라우드 서비스로의 연결을 설정합니다.

공격자가 고객을 대신하여 당사의 이메일 또는 아카이빙된 콘텐츠에 접근했다는 증거는 없습니다.  – Mimecast

 

Mimecast는 Mandiant의 포렌식 전문가와 함께 사건 조사를 마친 후 공격자가 환경에 접근할 수 없도록 성공적으로 차단했다고 밝혔습니다.

 

또한 마이크로소프트는 2월 SolarWinds 해커가 일부 Azure, Intune, Exchange 컴포넌트에 대한 소스코드를 다운로드했다고 밝혔습니다.

 

수정 조치

 

Mimecast는 “영향을 받은 해싱 및 솔트된 크리덴셜“ 모두를 재설정했다고 밝혔습니다. 또한 미국 및 영국의 고객들에게 Mimecast 플랫폼에서 사용하는 모든 서버 크리덴셜을 재설정할 것을 권고했습니다.

 

또한 Mimecast 서버 연결을 더욱 안전히 보호하기 위해 Mimecast 및 마이크로소프트 서비스 플랫폼을 연결하는 새로운 OAuth 기반 인증 메커니즘을 개발 중이라 밝혔습니다.

 

또한 아래와 같이 추가적으로 개선 조치를 취했습니다.

 

- 영향을 받는 모든 인증서 및 암호화 키 교체
- 저장된 모든 크리덴셜에 대한 암호화 알고리즘 강도 업그레이드
- 저장된 모든 인증서 및 암호화키에 대한 향상된 모니터링 구현
- 모든 인프라에 추가 호스트 보안 모니터링 배포
- SolarWinds Orion 제품을 NetFlow 모니터링 시스템으로 교체
- Mimecast 직원, 시스템, 관리자 크리덴셜을 모두 변경하고 직원의 생산 시스템 접근을 위한 하드웨어 기반 이중 인증을 확장
- 해킹된 서버를 완전히 교체
- 빌드 및 자동화 시스템을 검차 및 확인하여 Mimecast에서 배포한 실행 파일이 변조되지 않았는지 확인
- 소스코드 트리 전체에 추가 정적 및 보안 분석 구현

 

SolarWinds 해커들

 

SolarWinds의 공급망 공격의 배후에 있는 그룹은 UNC2452 (FireEye), StellarParticle (CrowdStrike), SolarStorm (Palo Alto Unit 42), Dark Halo (Volexity), Nobelium (Microsoft)로 추적됩니다.

 

이들의 신원은 아직까지 밝혀지지 않았지만, FBI, CISA, ODNI, NSA에서 발표한 공동 성명에 따르면 러시아의 지원을 받는 APT 그룹일 가능성이 높습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/mimecast-solarwinds-hackers-stole-some-of-our-source-code/

https://www.mimecast.com/incident-report/