Odhalení kybernetických útoků „Midnight Blizzard“: Bitva Microsoftu proti státem sponzorovaným kybernetickým hrozbám
Microsoft nedávno odhalil znepokojivé porušení, kterého se dopustila ruská státem podporovaná hackerská skupina známá jako Midnight Blizzard. Útočníci použili sofistikované taktiky, včetně vytváření škodlivých aplikací OAuth, manipulace s uživatelskými účty a používání rezidenčních proxy sítí k ukrytí svých aktivit. Toto porušení podtrhuje důležitost robustních bezpečnostních opatření pro organizace.
Obsah
Asociace Midnight Blizzard a Cozy Bear vycházejí najevo
Koncem listopadu 2023 se Microsoft stal obětí kybernetického útoku organizovaného Midnight Blizzard, také známým jako Cozy Bear. Hackeři využili útoky sprejem hesel ke kompromitaci e-mailových účtů, přičemž se zaměřili na vedoucí pracovníky a zaměstnance v týmech pro kybernetickou bezpečnost a právníky. Další analýza odhalila, že útočníci zneužili starší testovací aplikaci OAuth s privilegovaným přístupem do podnikového IT prostředí společnosti Microsoft. OAuth, standard pro autentizaci založenou na tokenech, byl zmanipulován hackery, kteří vytvořili další škodlivé aplikace OAuth.
Taktika společnosti Midnight Blizzard se rozšířila na vytvoření nového uživatelského účtu a udělila svým škodlivým aplikacím OAuth přístup k poštovním schránkám Office 365 Exchange. Tento přístup jim umožnil stahovat e-maily a soubory, aby změřili povědomí společnosti Microsoft o jejich aktivitách. Aby útočníci zamaskovali svůj původ, využili rezidenční proxy sítě, které směrovaly provoz přes četné IP adresy používané legitimními uživateli.
Jak čelit únikům dat a kybernetickým útokům
Společnost Microsoft doporučuje organizacím čelit těmto hrozbám, aby prováděly audity uživatelských a servisních oprávnění, zejména se zaměřením na neidentifikované identity a aplikace s vysokými oprávněními. Doporučují prověřovat identity s oprávněními ApplicationImpersonation v Exchange Online, protože nesprávná konfigurace může umožnit neoprávněný přístup k podnikovým poštovním schránkám. Doporučují se také zásady detekce anomálií a ovládání aplikací podmíněného přístupu pro uživatele na nespravovaných zařízeních.
Dopad aktivit Midnight Blizzard přesahuje Microsoft, jak dokládá odhalení podobného útoku ze strany Hewlett Packard Enterprise (HPE) na její cloudový e-mailový systém v květnu 2023. Tento incident, spojený s předchozím pokusem o hackování, vedl ke krádeži dat z Poštovní schránky HPE a přístup k souborům SharePoint.
V reakci na tato narušení musí organizace zůstat ostražité a zavádět robustní bezpečnostní opatření ke zmírnění rizik, která představují státem podporované hackerské skupiny, jako je Midnight Blizzard.
Odhalení kybernetických útoků „Midnight Blizzard“: Bitva Microsoftu proti státem sponzorovaným kybernetickým hrozbám snímků obrazovky
