보안정보

SolarWindsMimecast

Mimecast : SolarWinds 해커가 소스 코드의 일부 탈취

침해사고분석팀 2021.03.17

 

이메일 보안업체 Mimecast는 올해 초 자사의 네트워크를 침입한 SolarWinds 해커들이 제한된 수의 저장소에서 소스 코드를 다운로드했음을 오늘 확인했다.

 

Mimecast의 네트워크를 침입하기 위해, 공격자는 Sunburst 백도어를 사용했는데, 이는 SolarWinds 해커가 SolarWinds 오리온 IT 모니터링 플랫폼의 손상된 자동 업데이트 메커니즘을 사용하여 약 18,000명의 SolarWinds 고객에게 배포한 악성코드이다.

 

"이 엔트리 포인트를 사용하여 위협 행위자는 특정 Mimecast 발급 인증서 및 관련 고객 서버 연결 정보에 액세스했습니다."라고 Mimecast는 오늘 발표된 사건 보고서에서 설명했다.

 

공격자는 또한 이메일 주소 및 기타 연락처 정보의 하위 집합뿐 아니라 암호화, 해시 및 솔트 자격 증명에 액세스했다.

 

그리고 공격자는 제한된 소스 코드 리포지토리에 액세스하고 다운로드했지만 소스 코드가 수정되었다는 증거를 찾지 못했고 제품에 영향이 없다고 생각한다.

 

회사 측은 공격자들이 유출한 소스 코드가 불완전하고 Mimecast 서비스 운영 버전을 개발하기에 부족하다고 보고 있다.

 

"우리는 위협 행위자가 우리의 소스 코드를 수정했다고 생각하지 않는다."라고 회사는 덧붙였다. 고객이 구축한 모든 Mimecast 소프트웨어를 포렌식 분석 결과 Mimecast 분산 실행 파일의 빌드 프로세스가 변조되지 않은 것으로 확인됐다.

 

SolarWinds 해커들은 지난 1월 회사가 처음 공개한 것처럼 Microsoft가 Microsoft 365 클라우드 동기화 서버 작업 보안에 사용한 인증서를 도용한 뒤 소수의 고객 Microsoft 365 테넌트를 목표로 했다.

 

Mimecast는 도난 증명서를 사용한 정확한 고객 수를 공개하지 않았지만, 회사 측은 약 10%의 고객이 이러한 연결을 사용한다고 말했다.

 

Mimecast의 제품은 36,000명 이상의 고객이 사용하고 있으며, 그중 10%가 잠재적으로 영향을 미칠 수 있는 고객 3,600명에 달한다.

 

조사 과정에서 Mimecast는 SolarWinds 해커들이 회사의 생산 그리드 환경에서 손상된 Windows 시스템에 대한 액세스를 유지하기 위해 설정한 추가 액세스 방법을 발견했다.

 

Mandiant 포렌식 전문가들과 사건 조사를 마친 후, Mimecast는 공격자들의 환경에 대한 액세스를 성공적으로 차단했다고 말한다.

 

공격 중에 해커가 이메일 또는 아카이브 콘텐츠에 액세스했다는 증거는 발견되지 않았다.

 

Microsoft는 또한 지난 2월 SolarWinds 해커들이 제한된 수의 Azure, Intune, Exchange 컴포넌트에 대한 소스 코드를 다운로드했다고 말했다.

 

Mimecast는 미국과 영국에서 호스트된 고객에게 Mimecast 플랫폼에서 사용하는 서버 연결 자격 증명을 재설정하도록 권장한 후 모든 "해시 및 솔트 자격 증명"을 재설정했다.

 

또한, 서버 연결을 더욱 안전하게 보호하기 위해 플랫폼을 연결하는 새로운 OAuth 기반 인증 메커니즘을 개발하고 있다.

 

Mimecast는 보안 침해 이후 다음과 같은 몇 가지 추가 개선 조치를 취했다.

 

-영향을받는 모든 인증서 및 암호화 키 교체

-저장된 모든 자격 증명에 대한 암호화 알고리즘 강도가 업그레이드

-저장된 모든 인증서 및 암호화 키에 대한 향상된 모니터링 구현

-모든 인프라에 추가 호스트 보안 모니터링 기능 구현

-SolarWinds Orion 폐기 후,  NetFlow 모니터링 시스템으로 교체

-모든 Mimecast 직원, 시스템 및 관리 자격 증명을 교체하고 생산 시스템에 대한 직원 액세스를 위해 확장된 하드웨어 기반 2단계 인증

-손상된 모든 서버 교체

-Mimecast에서 배포한 실행 파일이 변조되지 않았는지 확인하기 위해 빌드 및 자동화 시스템 검사 및 확인

-소스 코드 트리에 대한 추가 정적 및 보안 분석 구현

 

SolarWinds 공급망 공격 배후 위협 요인은 UNC2452(파이어아이), Stellar Particle(CrowdStrike), SolarStorm(Palo Alto Unit 42), Dark Halo(Vollexity), 노벨륨(Microsoft) 등으로 추적된다.

 

그 정체는 알려지지 않았지만, FBI, CISA, ODNI, NSA가 발표한 공동성명은 러시아가 지원하는 APT(Advanced Persistent Threat) 그룹일 가능성이 높다고 밝혔다.

 

Mimecast가 그들의 위반을 폭로할 즈음, 사이버 보안 회사 Malwarebytes는 SolarWinds 해커들이 몇몇 내부 회사 이메일에 접근할 수 있다는 것을 확인했다.

 

출처

https://www.bleepingcomputer.com/news/security/mimecast-solarwinds-hackers-stole-some-of-our-source-code/

https://www.mimecast.com/incident-report/
목록