S'han descobert els ciberatacs "Midnight Blizzard": la batalla de Microsoft contra les ciberamenaces patrocinades per l'estat
Microsoft va revelar recentment una violació perpetrada per un grup de pirateria rus patrocinat per l'estat conegut com Midnight Blizzard. Els atacants van utilitzar tàctiques sofisticades, com ara la creació d'aplicacions OAuth malicioses, la manipulació de comptes d'usuari i l'ús de xarxes proxy residencials per ocultar les seves activitats. Aquesta violació subratlla la importància de mesures de seguretat sòlides per a les organitzacions.
Taula de continguts
Surten a la llum les associacions Midnight Blizzard i Cozy Bear
A finals de novembre de 2023, Microsoft va ser víctima d'un ciberatac orquestrat per Midnight Blizzard, també conegut com a Cozy Bear. Els pirates informàtics van utilitzar atacs de polvorització de contrasenyes per comprometre els comptes de correu electrònic, dirigint-se a alts executius i empleats dels equips legals i de ciberseguretat. Una anàlisi més detallada va revelar que els atacants van explotar una aplicació OAuth de prova heretada amb accés privilegiat a l'entorn informàtic corporatiu de Microsoft. OAuth, un estàndard per a l'autenticació basada en testimonis, va ser manipulat pels pirates informàtics que van crear aplicacions OAuth malicioses addicionals.
Les tàctiques de Midnight Blizzard es van estendre a la creació d'un nou compte d'usuari, donant accés a les seves aplicacions OAuth malicioses a les bústies de correu d'Office 365 Exchange. Aquest accés els va permetre descarregar correus electrònics i fitxers per mesurar el coneixement de Microsoft de les seves activitats. Per emmascarar el seu origen, els atacants van utilitzar xarxes proxy residencials, encaminant el trànsit a través de nombroses adreces IP utilitzades per usuaris legítims.
Com contrarestar les violacions de dades i els ciberatacs
Per contrarestar aquestes amenaces, Microsoft recomana a les organitzacions que realitzin auditories sobre privilegis d'usuari i servei, especialment centrant-se en identitats no identificades i aplicacions amb privilegis elevats. Aconsellen examinar les identitats amb privilegis d'ApplicationImpersonation a Exchange Online, ja que les configuracions incorrectes poden permetre l'accés no autoritzat a les bústies de correu de l'empresa. També es recomanen polítiques de detecció d'anomalies i controls d'aplicacions d'accés condicional per als usuaris de dispositius no gestionats.
L'impacte de les activitats de Midnight Blizzard s'estén més enllà de Microsoft, com ho demostra la divulgació de Hewlett Packard Enterprise (HPE) d'un atac similar al seu sistema de correu electrònic basat en núvol el maig de 2023. Aquest incident, vinculat a un intent de pirateig previ, va provocar un robatori de dades de Bústies de correu HPE i accés als fitxers de SharePoint.
En resposta a aquestes infraccions, les organitzacions han de mantenir-se vigilants, implementant mesures de seguretat sòlides per mitigar els riscos que plantegen els grups de pirateria patrocinats per l'estat com Midnight Blizzard.
S’han descobert els ciberatacs “Midnight Blizzard”: la batalla de Microsoft contra les ciberamenaces patrocinades per l’estat captures de pantalla
