Felfedezték a „Midnight Blizzard” kibertámadásokat: a Microsoft harca az államilag szponzorált kiberfenyegetések ellen
A Microsoft a közelmúltban nyilvánosságra hozott egy, a Midnight Blizzard néven ismert orosz állami hackercsoport által elkövetett, aggályos jogsértést. A támadók kifinomult taktikákat alkalmaztak, beleértve a rosszindulatú OAuth-alkalmazások létrehozását, a felhasználói fiókok manipulálását és a lakossági proxyhálózatok használatát tevékenységük elrejtésére. Ez a jogsértés hangsúlyozza a szilárd biztonsági intézkedések fontosságát a szervezetek számára.
Tartalomjegyzék
A Midnight Blizzard és a Cozy Bear asszociációk napvilágra kerülnek
2023 novemberének végén a Microsoft a Midnight Blizzard, más néven Cozy Bear által szervezett kibertámadás áldozata lett. A hackerek jelszószóró támadásokat alkalmaztak az e-mail fiókok feltörésére, és célba vették a felsővezetőket és a kiberbiztonsági és jogi csapatok alkalmazottait. A további elemzés feltárta, hogy a támadók egy örökölt OAuth-tesztalkalmazást használtak ki, amely kiváltságos hozzáféréssel rendelkezik a Microsoft vállalati informatikai környezetéhez. Az OAuth-ot, a token-alapú hitelesítés szabványát a hackerek manipulálták, akik további rosszindulatú OAuth-alkalmazásokat hoztak létre.
A Midnight Blizzard taktikája kiterjedt egy új felhasználói fiók létrehozására is, amely a rosszindulatú OAuth-alkalmazásoknak hozzáférést biztosít az Office 365 Exchange postafiókjaihoz. Ez a hozzáférés lehetővé tette számukra, hogy e-maileket és fájlokat töltsenek le, hogy felmérjék, mennyire ismeri a Microsoft tevékenységeiket. Eredetük elfedésére a támadók lakossági proxyhálózatokat használtak, és a forgalmat számos, a legális felhasználók által használt IP-címen keresztül irányították.
Hogyan védekezzünk az adatszivárgás és a kibertámadások ellen
Az ilyen fenyegetések leküzdésére a Microsoft azt javasolja a szervezeteknek, hogy végezzenek auditot a felhasználói és szolgáltatási jogosultságokkal kapcsolatban, különös tekintettel az azonosítatlan identitásokra és a magas jogosultságokkal rendelkező alkalmazásokra. Azt tanácsolják, hogy az Exchange Online-ban az ApplicationImpersonation jogosultságokkal ellenőrizze az identitásokat, mivel a hibás konfigurációk jogosulatlan hozzáférést tehetnek lehetővé a vállalati postafiókokhoz. A nem felügyelt eszközöket használó felhasználók számára anomália-észlelési házirendek és feltételes hozzáférésű alkalmazásvezérlők is javasoltak.
A Midnight Blizzard tevékenységének hatása túlmutat a Microsofton, amint azt az is bizonyítja, hogy a Hewlett Packard Enterprise (HPE) 2023 májusában nyilvánosságra hozta a felhőalapú levelezőrendszere elleni hasonló támadást. Ez az incidens, amely egy korábbi hackelési kísérlethez kapcsolódik, adatlopást eredményezett HPE postafiókok és hozzáférés a SharePoint fájlokhoz.
Ezekre a jogsértésekre válaszul a szervezeteknek ébernek kell maradniuk, és szigorú biztonsági intézkedéseket kell bevezetniük az államilag támogatott hackercsoportok, például a Midnight Blizzard által jelentett kockázatok mérséklésére.
Felfedezték a „Midnight Blizzard” kibertámadásokat: a Microsoft harca az államilag szponzorált kiberfenyegetések ellen képernyőkép
