افشای حملات سایبری «Midnight Blizzard»: نبرد مایکروسافت در برابر تهدیدات سایبری تحت حمایت دولت
مایکروسافت اخیراً نقض نگران کنندهای را فاش کرده است که توسط یک گروه هکری تحت حمایت دولتی روسیه به نام Midnight Blizzard انجام شده است. مهاجمان از تاکتیک های پیچیده ای از جمله ایجاد برنامه های OAuth مخرب، دستکاری حساب های کاربری و استفاده از شبکه های پراکسی مسکونی برای پنهان کردن فعالیت های خود استفاده کردند. این نقض بر اهمیت اقدامات امنیتی قوی برای سازمان ها تاکید می کند.
فهرست مطالب
انجمن های Midnight Blizzard و Cozy Bear آشکار می شوند
در اواخر نوامبر 2023، مایکروسافت قربانی یک حمله سایبری شد که توسط Midnight Blizzard که به نام Cozy Bear نیز شناخته میشود، سازماندهی شده بود. هکرها از حملات اسپری رمز عبور برای به خطر انداختن حسابهای ایمیل، مدیران ارشد و کارمندان در امنیت سایبری و تیمهای حقوقی استفاده کردند. تجزیه و تحلیل بیشتر نشان داد که مهاجمان از یک برنامه آزمایشی قدیمی OAuth با دسترسی ممتاز به محیط IT شرکتی مایکروسافت سوء استفاده کردند. OAuth، استانداردی برای احراز هویت مبتنی بر توکن، توسط هکرهایی دستکاری شد که برنامههای OAuth مخرب دیگری ایجاد کردند.
تاکتیکهای Midnight Blizzard به ایجاد یک حساب کاربری جدید گسترش یافت و به برنامههای مخرب OAuth آنها اجازه دسترسی به صندوقهای پستی Office 365 Exchange را داد. این دسترسی به آنها اجازه میداد تا ایمیلها و فایلها را برای سنجش آگاهی مایکروسافت از فعالیتهایشان دانلود کنند. مهاجمان برای پنهان کردن منشأ خود، از شبکههای پراکسی مسکونی استفاده کردند و ترافیک را از طریق آدرسهای IP متعددی که توسط کاربران قانونی استفاده میشد، هدایت کردند.
نحوه مقابله با نقض اطلاعات و حملات سایبری
برای مقابله با چنین تهدیداتی، مایکروسافت به سازمانها توصیه میکند که بر روی امتیازات کاربر و خدمات، بهویژه تمرکز بر هویتهای ناشناس و برنامههای کاربردی با امتیاز بالا، ممیزی انجام دهند. آنها توصیه میکنند هویتهای دارای امتیازات ApplicationImpersonation را در Exchange Online بررسی کنید، زیرا پیکربندیهای نادرست میتوانند دسترسی غیرمجاز به صندوقهای پستی سازمانی را فعال کنند. سیاستهای تشخیص ناهنجاری و کنترلهای برنامه دسترسی مشروط برای کاربران در دستگاههای مدیریتنشده نیز توصیه میشود.
تأثیر فعالیتهای Midnight Blizzard فراتر از مایکروسافت است، همانطور که هیولت پاکارد اینترپرایز (HPE) یک حمله مشابه به سیستم ایمیل مبتنی بر ابر خود را در می 2023 افشا کرد. این حادثه، که به یک تلاش هک قبلی مرتبط است، منجر به سرقت دادهها شد. صندوق های پستی HPE و دسترسی به فایل های شیرپوینت.
در پاسخ به این نقضها، سازمانها باید هوشیار باشند و اقدامات امنیتی قوی را برای کاهش خطرات ناشی از گروههای هک تحت حمایت دولتی مانند Midnight Blizzard اجرا کنند.