'Midnight Blizzard' Cyberangreb afsløret: Microsofts kamp mod statssponsorerede cybertrusler
Microsoft afslørede for nylig et angående brud begået af en russisk statssponsoreret hackergruppe kendt som Midnight Blizzard. Angriberne brugte sofistikerede taktikker, herunder oprettelse af ondsindede OAuth-applikationer, manipulation af brugerkonti og brug af proxy-netværk i hjemmet til at skjule deres aktiviteter. Dette brud understreger vigtigheden af robuste sikkerhedsforanstaltninger for organisationer.
Indholdsfortegnelse
Midnight Blizzard og Cozy Bear associationer kommer frem i lyset
I slutningen af november 2023 blev Microsoft offer for et cyberangreb orkestreret af Midnight Blizzard, også kendt som Cozy Bear. Hackerne brugte spray-angreb med adgangskode til at kompromittere e-mail-konti, rettet mod ledende medarbejdere og medarbejdere i cybersikkerheds- og juridiske teams. Yderligere analyse afslørede, at angriberne udnyttede en OAuth-testapplikation med privilegeret adgang til Microsofts IT-miljø. OAuth, en standard for token-baseret godkendelse, blev manipuleret af hackere, der skabte yderligere ondsindede OAuth-applikationer.
Midnight Blizzards taktik udvides til at oprette en ny brugerkonto, der giver deres ondsindede OAuth-apps adgang til Office 365 Exchange-postkasser. Denne adgang tillod dem at downloade e-mails og filer for at måle Microsofts bevidsthed om deres aktiviteter. For at maskere deres oprindelse brugte angriberne private proxy-netværk og dirigerede trafik gennem adskillige IP-adresser, der blev brugt af legitime brugere.
Sådan imødegås databrud og cyberangreb
For at imødegå sådanne trusler anbefaler Microsoft organisationer at udføre revisioner af bruger- og tjenesteprivilegier, især med fokus på uidentificerede identiteter og højprivilegerede applikationer. De råder til at granske identiteter med ApplicationImpersonation-rettigheder i Exchange Online, da fejlkonfigurationer kan muliggøre uautoriseret adgang til virksomhedspostkasser. Politikker til registrering af uregelmæssigheder og appkontroller med betinget adgang til brugere på ikke-administrerede enheder anbefales også.
Virkningen af Midnight Blizzards aktiviteter strækker sig ud over Microsoft, som det fremgår af Hewlett Packard Enterprises (HPE) afsløring af et lignende angreb på dets cloud-baserede e-mail-system i maj 2023. Denne hændelse, knyttet til et tidligere hackingforsøg, resulterede i datatyveri fra HPE-postkasser og adgang til SharePoint-filer.
Som reaktion på disse brud skal organisationer forblive på vagt og implementere robuste sikkerhedsforanstaltninger for at mindske risici fra statssponsorerede hackergrupper som Midnight Blizzard.
'Midnight Blizzard' Cyberangreb afsløret: Microsofts kamp mod statssponsorerede cybertrusler Skærmbilleder
