Mimecast: hackers kaapten certificaat om klanten te bespioneren

Mimecast werd door onderzoekers van Microsoft op de hoogte gesteld van het probleem, schrijft de securityspecialist op zijn blog. Het certificaat wat gekaapt is wordt gebruikt om een geverifieerde verbinding op te zetten tussen Mimecast Sync and Recover, Continuity Monitor en IEP-producten, en Microsoft 365 Exchange Web Services. Naar schatting gebruikt ongeveer 10 procent van de ruim 36.000 klanten van het bedrijf deze certificaat-gebaseerde verbinding.

Volgens Mimecast zijn er signalen dat slechts een klein deel van deze gebruikers ook echt het doelwit waren van de hackers. Deze klanten zijn op de hoogte gesteld door Mimecast. Een aantal Mimecast-klanten die deze verbinding gebruiken wordt uit voorzorg gevraagd om de bestaande verbinding te verwijderen en een nieuwe certificaat-gebaseerde verbinding op te zetten. Daar heeft Mimecast een nieuw certificaat voor beschikbaar gemaakt. 

Of er ook Nederlandse klanten getroffen zijn, is nog onduidelijk. Woordvoerder Laura Barnes weigerde te reageren op vragen van AG Connect. "Ons onderzoek loopt nog en we hebben nu niets aanvullends te delen. Alle updates worden via onze blog gedeeld", schrijft Barnes.  

SolarWinds-hack

Mimecast heeft ook nog niets bekendgemaakt over de herkomst van de aanvallers. Drie anonieme cybersecurity-onderzoekers stellen tegenover Reuters dat ze vermoeden dat het om dezelfde hackersgroepering gaat als bij de Solarwinds-hack. Waar ze dat op baseren, is onduidelijk. 

Amerikaanse inlichtingendiensten zeiden vorige week dat de hackers achter de SolarWinds-aanval waarschijnlijk van Russische komaf zijn. Ook beveiligingsonderzoekers van Kaspersky zien aanwijzingen dat het om Russische hackers gaat.