Midnight Blizzardin kyberhyökkäykset paljastettu: Microsoftin taistelu valtion tukemia kyberuhkia vastaan
Microsoft paljasti äskettäin Venäjän valtion tukeman Midnight Blizzard -nimisen hakkerointiryhmän tekemän tietomurron. Hyökkääjät käyttivät kehittyneitä taktiikoita, mukaan lukien haitallisten OAuth-sovellusten luominen, käyttäjätilien manipulointi ja kotitalouksien välityspalvelinverkkojen käyttö toimintansa salaamiseen. Tämä rikkomus korostaa vahvojen turvatoimien merkitystä organisaatioille.
Sisällysluettelo
Midnight Blizzard ja Cozy Bear -assosiaatiot tulevat esiin
Marraskuun lopussa 2023 Microsoft joutui Midnight Blizzardin, joka tunnetaan myös nimellä Cozy Bear, järjestämän kyberhyökkäyksen uhri. Hakkerit käyttivät salasanojen ruiskutushyökkäyksiä vaarantaakseen sähköpostitilit ja kohdistuivat ylempään johtajiin ja kyberturvallisuus- ja lakitiimien työntekijöihin. Lisäanalyysi paljasti, että hyökkääjät käyttivät hyväkseen vanhaa OAuth-testisovellusta, jolla oli etuoikeutettu pääsy Microsoftin yrityksen IT-ympäristöön. OAuthia, tunnuspohjaisen todennuksen standardia, manipuloivat hakkerit, jotka loivat lisää haitallisia OAuth-sovelluksia.
Midnight Blizzardin taktiikka ulottui uuden käyttäjätilin luomiseen, jolloin heidän haitallisille OAuth-sovelluksilleen myönnettiin pääsy Office 365 Exchange -postilaatikoihin. Tämän pääsyn ansiosta he voivat ladata sähköposteja ja tiedostoja mitatakseen Microsoftin tietoisuutta heidän toimistaan. Alkuperänsä peittämiseksi hyökkääjät käyttivät välityspalvelinverkkoja, jotka ohjasivat liikennettä useiden laillisten käyttäjien käyttämien IP-osoitteiden kautta.
Kuinka torjua tietomurtoja ja kyberhyökkäyksiä
Tällaisten uhkien torjumiseksi Microsoft suosittelee organisaatioita suorittamaan käyttäjien ja palveluiden oikeuksia koskevia tarkastuksia keskittyen erityisesti tunnistamattomiin henkilöllisyyksiin ja korkean tason sovelluksiin. He neuvovat tarkistamaan henkilöllisyydet Exchange Onlinen ApplicationImpersonation-oikeuksilla, koska virheelliset määritykset voivat mahdollistaa luvattoman pääsyn yrityksen postilaatikoihin. Hallitsemattomien laitteiden käyttäjille suositellaan myös poikkeamien havaitsemiskäytäntöjä ja ehdollisen pääsyn sovellusten hallintaa.
Midnight Blizzardin toiminnan vaikutus ulottuu Microsoftin ulkopuolelle, mistä on osoituksena Hewlett Packard Enterprisen (HPE) paljastaminen samanlaisesta hyökkäyksestä pilvipohjaiseen sähköpostijärjestelmäänsä toukokuussa 2023. Tämä tapaus, joka liittyy aiempaan hakkerointiyritykseen, johti tietovarkauksiin HPE-postilaatikot ja pääsy SharePoint-tiedostoihin.
Vastauksena näihin tietomurtoihin organisaatioiden on pysyttävä valppaina ja toteutettava tehokkaita turvatoimia valtion tukemien hakkerointiryhmien, kuten Midnight Blizzardin, aiheuttamien riskien vähentämiseksi.
Midnight Blizzardin kyberhyökkäykset paljastettu: Microsoftin taistelu valtion tukemia kyberuhkia vastaan kuvakaappausta
