الكشف عن الهجمات السيبرانية "Midnight Blizzard": معركة مايكروسوفت ضد التهديدات السيبرانية التي ترعاها الدولة
كشفت Microsoft مؤخرًا عن اختراق مثير للقلق ارتكبته مجموعة قرصنة روسية ترعاها الدولة تُعرف باسم Midnight Blizzard. استخدم المهاجمون أساليب متطورة، بما في ذلك إنشاء تطبيقات OAuth الضارة، والتلاعب بحسابات المستخدمين، واستخدام شبكات الوكيل السكنية لإخفاء أنشطتهم. يؤكد هذا الاختراق على أهمية التدابير الأمنية القوية للمؤسسات.
جدول المحتويات
ظهرت جمعيات Midnight Blizzard وCozy Bear إلى النور
في أواخر نوفمبر 2023، وقعت مايكروسوفت ضحية لهجوم إلكتروني دبرته شركة Midnight Blizzard، المعروفة أيضًا باسم Cozy Bear. استخدم المتسللون هجمات رش كلمات المرور لاختراق حسابات البريد الإلكتروني، واستهدفوا كبار المديرين التنفيذيين والموظفين في فرق الأمن السيبراني والقانونية. وكشف المزيد من التحليل أن المهاجمين استغلوا تطبيق OAuth للاختبار القديم مع امتياز الوصول إلى بيئة تكنولوجيا المعلومات الخاصة بشركة Microsoft. تم التلاعب بـ OAuth، وهو معيار للمصادقة المستندة إلى الرمز المميز، من قبل المتسللين الذين أنشأوا تطبيقات OAuth إضافية ضارة.
امتدت تكتيكات Midnight Blizzard لتشمل إنشاء حساب مستخدم جديد، ومنح تطبيقات OAuth الضارة الخاصة بها إمكانية الوصول إلى صناديق بريد Office 365 Exchange. سمح لهم هذا الوصول بتنزيل رسائل البريد الإلكتروني والملفات لقياس مدى وعي Microsoft بأنشطتهم. ولإخفاء مصدرهم، استخدم المهاجمون شبكات بروكسي سكنية، وقاموا بتوجيه حركة المرور عبر العديد من عناوين IP التي يستخدمها المستخدمون الشرعيون.
كيفية مواجهة خروقات البيانات والهجمات الإلكترونية
ولمواجهة مثل هذه التهديدات، توصي Microsoft المؤسسات بإجراء عمليات تدقيق على امتيازات المستخدم والخدمة، مع التركيز بشكل خاص على الهويات غير المحددة والتطبيقات ذات الامتيازات العالية. وينصحون بفحص الهويات التي تتمتع بامتيازات انتحال هوية التطبيق في Exchange Online، حيث يمكن أن تؤدي التكوينات الخاطئة إلى تمكين الوصول غير المصرح به إلى صناديق بريد المؤسسة. يوصى أيضًا بسياسات الكشف عن الحالات الشاذة وعناصر التحكم في تطبيقات الوصول المشروط للمستخدمين على الأجهزة غير المُدارة.
يمتد تأثير أنشطة Midnight Blizzard إلى ما هو أبعد من مايكروسوفت، كما يتضح من كشف شركة Hewlett Packard Enterprise (HPE) عن هجوم مماثل على نظام البريد الإلكتروني القائم على السحابة في مايو 2023. وقد أدى هذا الحادث، المرتبط بمحاولة اختراق سابقة، إلى سرقة البيانات من صناديق بريد HPE والوصول إلى ملفات SharePoint.
ردًا على هذه الانتهاكات، يجب على المؤسسات أن تظل يقظة، وأن تنفذ تدابير أمنية قوية للتخفيف من المخاطر التي تشكلها مجموعات القرصنة التي ترعاها الدولة مثل Midnight Blizzard.
الكشف عن الهجمات السيبرانية “Midnight Blizzard”: معركة مايكروسوفت ضد التهديدات السيبرانية التي ترعاها الدولة لقطة
