Microsoft определила конечную цель взломавших SolarWinds хакеров

Как пояснила команда Microsoft 365 Defender Team, проникнув через бэкдор в локальную сеть атакуемой организации, злоумышленники начинали охоту за ее облачными активами за пределами локальной сети.

«Со столь обширным плацдармом атакующие могли выбирать конкретные организации, в которых они хотели продолжать свои операции (в то же время остальные оставались доступными, пока бэкдор находился в их сетях и не был обнаружен)», - сообщили специалисты.

В предыдущих публикациях Microsoft об атаке на цепочку поставок SolarWinds и руководстве Агентства национальной безопасности США также вскользь упоминалось, что конечной целью злоумышленников было создание токенов SAML (Security Assertion Markup Language) для подделки токенов аутентификации, обеспечивающих доступ к облачным ресурсам.