Saldırı ilk olarak, etkin olmayan bir Office 365 güvenlik uygulamasından gelen şüpheli etkinlik algılandıktan sonra, Office 365 ve Azure altyapılarının Microsoft denetimi sırasında keşfedildi. Malwarebytes, dahili BT altyapısının bir parçası olarak herhangi bir SolarWinds yazılımı kullanmadığından ihlalin SolarWinds saldırısıyla ilgili olmadığını belirtti. Ek olarak, şirket içi veya üretim ortamlarından herhangi birinin tehlikeye girdiğine dair kanıt olmadığından, ürünlerin kullanımının güvenli olduğu söyleniyor.
Malwarebytes’in kurucusu ve CEO’su Marcin Kleczynski konu hakkındaki açıklamasında “Microsoft Office 365 kiracımızdaki üçüncü taraf bir uygulamadan, SolarWinds saldırılarına karışan aynı gelişmiş tehdit aktörünün taktikleri, teknikleri ve prosedürleriyle tutarlı şüpheli faaliyetler hakkında bilgi aldık. Olay yanıt grubumuzu hemen etkinleştirdik ve Microsoft’un DART ekibi ile iletişime geçtik. Birlikte, ilk uyarıyı tetikleyen API çağrılarıyla ilgili tüm etkinlikler için hem bulut hem de şirket içi ortamlarımızda kapsamlı bir araştırma yaptık.” dedi.
Devlet destekli saldırı
SolarWinds hack’i ilk olarak geçen yıl Aralık ayında keşfedildi ve konuya dair detaylı bilgiler yavaş yavaş ortaya çıktı. Saldırılar, kötü aktörlerin şirketin Orion ağ yönetim araçlarını ihlal etmelerinin ardından Mart ayında başladı. Microsoft, ABD Adalet Bakanlığı ile Enerji Bakanlığı ve Ulusal Nükleer Güvenlik İdaresi dahil olmak üzere SolarWinds müşterilerinin sistemlerine sızmak için bu üründeki bir güvenlik açığı kullanıldı. FBI, NSA ile Siber Güvenlik ve Altyapı Güvenlik Ajansı temsilcileri geçtiğimiz günlerde Rusya’yı saldırıların arkasındaki en olası şüpehli olarak adlandıran ortak bir bildiri yayınladı. Son durumda ise hükümet organlarından özel şirketlere kadar dünya çapında 250 kadar ağın etkilendiği düşünülüyor.