Αποκαλύφθηκαν οι κυβερνοεπιθέσεις της «Midnight Blizzard»: Η μάχη της Microsoft ενάντια στις κυβερνοαπειλές που χορηγούνται από το κράτος
Η Microsoft αποκάλυψε πρόσφατα μια ανησυχητική παραβίαση που διέπραξε μια ρωσική κρατική ομάδα hacking γνωστή ως Midnight Blizzard. Οι εισβολείς χρησιμοποίησαν περίπλοκες τακτικές, συμπεριλαμβανομένης της δημιουργίας κακόβουλων εφαρμογών OAuth, χειραγώγησης λογαριασμών χρηστών και χρήσης οικιακών δικτύων μεσολάβησης για την απόκρυψη των δραστηριοτήτων τους. Αυτή η παραβίαση υπογραμμίζει τη σημασία των ισχυρών μέτρων ασφαλείας για τους οργανισμούς.
Πίνακας περιεχομένων
Οι συσχετισμοί Midnight Blizzard και Cozy Bear έρχονται στο φως
Στα τέλη Νοεμβρίου 2023, η Microsoft έπεσε θύμα κυβερνοεπίθεσης που ενορχηστρώθηκε από τη Midnight Blizzard, γνωστή και ως Cozy Bear. Οι χάκερ χρησιμοποίησαν επιθέσεις με σπρέι κωδικών πρόσβασης για να παραβιάσουν λογαριασμούς email, στοχεύοντας ανώτερα στελέχη και υπαλλήλους στον τομέα της κυβερνοασφάλειας και νομικών ομάδων. Περαιτέρω ανάλυση αποκάλυψε ότι οι εισβολείς εκμεταλλεύτηκαν μια δοκιμαστική εφαρμογή παλαιού τύπου OAuth με προνομιακή πρόσβαση στο εταιρικό περιβάλλον πληροφορικής της Microsoft. Το OAuth, ένα πρότυπο για έλεγχο ταυτότητας που βασίζεται σε διακριτικά, χειραγωγήθηκε από τους χάκερ που δημιούργησαν πρόσθετες κακόβουλες εφαρμογές OAuth.
Οι τακτικές της Midnight Blizzard επεκτάθηκαν στη δημιουργία ενός νέου λογαριασμού χρήστη, παρέχοντας στις κακόβουλες εφαρμογές OAuth πρόσβαση στα γραμματοκιβώτια του Office 365 Exchange. Αυτή η πρόσβαση τους επέτρεψε να κατεβάζουν μηνύματα ηλεκτρονικού ταχυδρομείου και αρχεία για να μετρήσουν την επίγνωση της Microsoft για τις δραστηριότητές τους. Για να κρύψουν την προέλευσή τους, οι εισβολείς χρησιμοποίησαν οικιακά δίκτυα μεσολάβησης, δρομολογώντας την κυκλοφορία μέσω πολλών διευθύνσεων IP που χρησιμοποιούνται από νόμιμους χρήστες.
Πώς να αντιμετωπίσετε τις παραβιάσεις δεδομένων και τις κυβερνοεπιθέσεις
Για την αντιμετώπιση τέτοιων απειλών, η Microsoft συνιστά στους οργανισμούς να διενεργούν ελέγχους σχετικά με τα δικαιώματα χρήστη και υπηρεσιών, εστιάζοντας ιδιαίτερα σε μη αναγνωρισμένες ταυτότητες και εφαρμογές υψηλών προνομίων. Συμβουλεύουν τον έλεγχο ταυτοτήτων με προνόμια ApplicationImpersonation στο Exchange Online, καθώς οι εσφαλμένες διαμορφώσεις μπορούν να επιτρέψουν μη εξουσιοδοτημένη πρόσβαση σε εταιρικά γραμματοκιβώτια. Συνιστώνται επίσης πολιτικές εντοπισμού ανωμαλιών και έλεγχοι εφαρμογής υπό όρους πρόσβασης για χρήστες σε μη διαχειριζόμενες συσκευές.
Ο αντίκτυπος των δραστηριοτήτων της Midnight Blizzard εκτείνεται πέρα από τη Microsoft, όπως αποδεικνύεται από την αποκάλυψη της Hewlett Packard Enterprise (HPE) μιας παρόμοιας επίθεσης στο σύστημα ηλεκτρονικού ταχυδρομείου της που βασίζεται στο cloud τον Μάιο του 2023. Αυτό το περιστατικό, που συνδέεται με προηγούμενη απόπειρα hacking, είχε ως αποτέλεσμα κλοπή δεδομένων από Γραμματοκιβώτια HPE και πρόσβαση σε αρχεία SharePoint.
Ως απάντηση σε αυτές τις παραβιάσεις, οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση, εφαρμόζοντας ισχυρά μέτρα ασφαλείας για τον μετριασμό των κινδύνων που δημιουργούνται από κρατικές ομάδες hacking όπως το Midnight Blizzard.
Αποκαλύφθηκαν οι κυβερνοεπιθέσεις της «Midnight Blizzard»: Η μάχη της Microsoft ενάντια στις κυβερνοαπειλές που χορηγούνται από το κράτος Στιγμιότυπα οθόνης
