Avastati "Midnight Blizzard" küberrünnakud: Microsofti võitlus riigi toetatud küberohtude vastu
Microsoft avalikustas hiljuti rikkumise, mille pani toime Venemaa riiklikult toetatud häkkimisrühmitus, tuntud kui Midnight Blizzard. Ründajad kasutasid keerukaid taktikaid, sealhulgas pahatahtlike OAuthi rakenduste loomist, kasutajakontodega manipuleerimist ja puhverserverivõrkude kasutamist oma tegevuse varjamiseks. See rikkumine rõhutab tugevate turvameetmete tähtsust organisatsioonide jaoks.
Sisukord
Päevavalgele tulevad Midnight Blizzardi ja Cozy Beari assotsiatsioonid
2023. aasta novembri lõpus langes Microsoft Midnight Blizzardi (tuntud ka kui Cozy Bear) korraldatud küberrünnaku ohvriks. Häkkerid kasutasid e-posti kontode ohustamiseks paroolipihustusrünnakuid, mis olid suunatud tippjuhtidele ning küberjulgeoleku- ja juriidiliste meeskondade töötajatele. Täiendav analüüs näitas, et ründajad kasutasid OAuthi pärandrakendust, millel oli privilegeeritud juurdepääs Microsofti ettevõtte IT-keskkonnale. OAuthi, loapõhise autentimise standardit, manipuleerisid häkkerid, kes lõid täiendavaid pahatahtlikke OAuthi rakendusi.
Midnight Blizzardi taktika laienes uue kasutajakonto loomisele, võimaldades nende pahatahtlikele OAuthi rakendustele juurdepääsu Office 365 Exchange'i postkastidele. See juurdepääs võimaldas neil alla laadida e-kirju ja faile, et mõõta Microsofti teadlikkust nende tegevusest. Oma päritolu varjamiseks kasutasid ründajad puhverserverivõrke, suunates liiklust paljude seaduslike kasutajate kasutatavate IP-aadresside kaudu.
Kuidas andmerikkumiste ja küberrünnakute vastu võidelda
Selliste ohtude vastu võitlemiseks soovitab Microsoft organisatsioonidel viia läbi kasutaja- ja teenuseõiguste auditeid, keskendudes eelkõige tundmatutele identiteetidele ja kõrge privileegiga rakendustele. Nad soovitavad kontrollida identiteete Exchange Online'is ApplicationImpersonation privileegidega, kuna väärkonfiguratsioonid võivad võimaldada volitamata juurdepääsu ettevõtte postkastidele. Haldamata seadmete kasutajatele on soovitatav kasutada ka kõrvalekalde tuvastamise eeskirju ja tingimusjuurdepääsu rakenduste juhtelemente.
Midnight Blizzardi tegevuse mõju ulatub Microsoftist kaugemale, nagu tõendab Hewlett Packard Enterprise (HPE) avalikustamine sarnase rünnaku kohta oma pilvepõhisele meilisüsteemile 2023. aasta mais. See juhtum, mis oli seotud eelneva häkkimiskatsega, põhjustas andmete varguse HPE postkastid ja juurdepääs SharePointi failidele.
Nendele rikkumistele reageerides peavad organisatsioonid jääma valvsaks, rakendades tugevaid turvameetmeid, et maandada riske, mida põhjustavad riigi toetatud häkkimisrühmad, nagu Midnight Blizzard.
Avastati “Midnight Blizzard” küberrünnakud: Microsofti võitlus riigi toetatud küberohtude vastu ekraanipilti
