A Microsoft anunciou ontem a conclusão das suas investigações do caso Solorigate, que envolveu a contaminação da plataforma Orion, da SolarWinds, por um grupo APT supostamente de origem russa. O relatório final afirma que “(…) não encontramos evidências de acesso a serviços de produção ou dados de clientes. A investigação também não encontrou nenhuma indicação de que nossos sistemas na Microsoft foram usados para atacar terceiros. Por causa de nossas proteções de defesa profunda, o ator também não foi capaz de obter acesso a credenciais privilegiadas ou aproveitar as técnicas de SAML contra nossos domínios corporativos”.
A empresa informou que “não havia acesso à grande maioria do código-fonte. Para quase todos os repositórios de código acessados, apenas alguns arquivos individuais foram visualizados como resultado de uma pesquisa no repositório” e que os invasores fizeram estes downloads:
- um pequeno subconjunto de componentes do Azure (subconjuntos de serviço, segurança, identidade)
- um pequeno subconjunto de componentes do Intune
- um pequeno subconjunto de componentes do Exchange
Veja isso
Mais quatro fornecedores de cyber atingidos no Solorigate
Um quinto das vítimas do ataque à SolarWinds são do setor de manufatura
As investigações mostraram que “os termos de pesquisa usados pelo ator indicam o foco esperado na tentativa de encontrar segredos. Nossa política de desenvolvimento proíbe segredos no código e executamos ferramentas automatizadas para verificar a conformidade. Por causa da atividade detectada, iniciamos imediatamente um processo de verificação para ramificações atuais e históricas dos repositórios. Confirmamos que os repositórios estavam em conformidade e não continham nenhuma credencial de produção ao vivo”.
A Microsoft disse que detectou atividade incomum em sua rede em dezembro e logo tomou medidas para proteger os sistemas: “Nossa análise mostra que a primeira visualização de um arquivo em um repositório de origem foi no final de novembro e terminou quando protegemos as contas afetadas. Continuamos a ver tentativas malsucedidas de acesso do ator até o início de janeiro de 2021, quando as tentativas pararam”.
Com agências internacionais