افشای حملات سایبری «Midnight Blizzard»: نبرد مایکروسافت در برابر تهدیدات سایبری تحت حمایت دولت

مایکروسافت اخیراً نقض نگران کننده‌ای را فاش کرده است که توسط یک گروه هکری تحت حمایت دولتی روسیه به نام Midnight Blizzard انجام شده است. مهاجمان از تاکتیک های پیچیده ای از جمله ایجاد برنامه های OAuth مخرب، دستکاری حساب های کاربری و استفاده از شبکه های پراکسی مسکونی برای پنهان کردن فعالیت های خود استفاده کردند. این نقض بر اهمیت اقدامات امنیتی قوی برای سازمان ها تاکید می کند.

انجمن های Midnight Blizzard و Cozy Bear آشکار می شوند

در اواخر نوامبر 2023، مایکروسافت قربانی یک حمله سایبری شد که توسط Midnight Blizzard که به نام Cozy Bear نیز شناخته می‌شود، سازماندهی شده بود. هکرها از حملات اسپری رمز عبور برای به خطر انداختن حساب‌های ایمیل، مدیران ارشد و کارمندان در امنیت سایبری و تیم‌های حقوقی استفاده کردند. تجزیه و تحلیل بیشتر نشان داد که مهاجمان از یک برنامه آزمایشی قدیمی OAuth با دسترسی ممتاز به محیط IT شرکتی مایکروسافت سوء استفاده کردند. OAuth، استانداردی برای احراز هویت مبتنی بر توکن، توسط هکرهایی دستکاری شد که برنامه‌های OAuth مخرب دیگری ایجاد کردند.

تاکتیک‌های Midnight Blizzard به ایجاد یک حساب کاربری جدید گسترش یافت و به برنامه‌های مخرب OAuth آنها اجازه دسترسی به صندوق‌های پستی Office 365 Exchange را داد. این دسترسی به آن‌ها اجازه می‌داد تا ایمیل‌ها و فایل‌ها را برای سنجش آگاهی مایکروسافت از فعالیت‌هایشان دانلود کنند. مهاجمان برای پنهان کردن منشأ خود، از شبکه‌های پراکسی مسکونی استفاده کردند و ترافیک را از طریق آدرس‌های IP متعددی که توسط کاربران قانونی استفاده می‌شد، هدایت کردند.

نحوه مقابله با نقض اطلاعات و حملات سایبری

برای مقابله با چنین تهدیداتی، مایکروسافت به سازمان‌ها توصیه می‌کند که بر روی امتیازات کاربر و خدمات، به‌ویژه تمرکز بر هویت‌های ناشناس و برنامه‌های کاربردی با امتیاز بالا، ممیزی انجام دهند. آنها توصیه می‌کنند هویت‌های دارای امتیازات ApplicationImpersonation را در Exchange Online بررسی کنید، زیرا پیکربندی‌های نادرست می‌توانند دسترسی غیرمجاز به صندوق‌های پستی سازمانی را فعال کنند. سیاست‌های تشخیص ناهنجاری و کنترل‌های برنامه دسترسی مشروط برای کاربران در دستگاه‌های مدیریت‌نشده نیز توصیه می‌شود.

تأثیر فعالیت‌های Midnight Blizzard فراتر از مایکروسافت است، همانطور که هیولت پاکارد اینترپرایز (HPE) یک حمله مشابه به سیستم ایمیل مبتنی بر ابر خود را در می 2023 افشا کرد. این حادثه، که به یک تلاش هک قبلی مرتبط است، منجر به سرقت داده‌ها شد. صندوق های پستی HPE و دسترسی به فایل های شیرپوینت.

در پاسخ به این نقض‌ها، سازمان‌ها باید هوشیار باشند و اقدامات امنیتی قوی را برای کاهش خطرات ناشی از گروه‌های هک تحت حمایت دولتی مانند Midnight Blizzard اجرا کنند.

افشای حملات سایبری «Midnight Blizzard»: نبرد مایکروسافت در برابر تهدیدات سایبری تحت حمایت دولت اسکرین شات