Scoperti attacchi informatici "Midnight Blizzard": la battaglia di Microsoft contro le minacce informatiche sponsorizzate dallo Stato

Microsoft ha recentemente rivelato una violazione preoccupante perpetrata da un gruppo di hacking sponsorizzato dallo stato russo noto come Midnight Blizzard. Gli aggressori hanno utilizzato tattiche sofisticate, tra cui la creazione di applicazioni OAuth dannose, la manipolazione degli account utente e l’uso di reti proxy residenziali per nascondere le proprie attività. Questa violazione sottolinea l’importanza di solide misure di sicurezza per le organizzazioni.

Vengono alla luce le associazioni Midnight Blizzard e Cozy Bear

Alla fine di novembre 2023, Microsoft è rimasta vittima di un attacco informatico orchestrato da Midnight Blizzard, noto anche come Cozy Bear. Gli hacker hanno utilizzato attacchi spray con password per compromettere gli account di posta elettronica, prendendo di mira dirigenti senior e dipendenti dei team legali e di sicurezza informatica. Ulteriori analisi hanno rivelato che gli aggressori hanno sfruttato un'applicazione OAuth di test legacy con accesso privilegiato all'ambiente IT aziendale di Microsoft. OAuth, uno standard per l'autenticazione basata su token, è stato manipolato dagli hacker che hanno creato ulteriori applicazioni OAuth dannose.

La tattica di Midnight Blizzard si è estesa alla creazione di un nuovo account utente, garantendo alle app OAuth dannose l'accesso alle caselle di posta di Office 365 Exchange. Questo accesso ha permesso loro di scaricare e-mail e file per valutare la consapevolezza di Microsoft riguardo alle loro attività. Per mascherare la propria origine, gli aggressori hanno utilizzato reti proxy residenziali, instradando il traffico attraverso numerosi indirizzi IP utilizzati da utenti legittimi.

Come contrastare le violazioni dei dati e gli attacchi informatici

Per contrastare tali minacce, Microsoft consiglia alle organizzazioni di condurre controlli sui privilegi degli utenti e dei servizi, concentrandosi in particolare sulle identità non identificate e sulle applicazioni con privilegi elevati. Consigliano di esaminare attentamente le identità con i privilegi ApplicationImpersonation in Exchange Online, poiché configurazioni errate possono consentire l'accesso non autorizzato alle cassette postali aziendali. Si consigliano inoltre criteri di rilevamento delle anomalie e controlli delle app di accesso condizionale per gli utenti su dispositivi non gestiti.

L'impatto delle attività di Midnight Blizzard si estende oltre Microsoft, come evidenziato dalla divulgazione da parte di Hewlett Packard Enterprise (HPE) di un attacco simile al suo sistema di posta elettronica basato su cloud nel maggio 2023. Questo incidente, collegato a un precedente tentativo di hacking, ha provocato il furto di dati da parte di Caselle di posta HPE e accesso ai file di SharePoint.

In risposta a queste violazioni, le organizzazioni devono rimanere vigili, implementando solide misure di sicurezza per mitigare i rischi posti dai gruppi di hacking sponsorizzati dallo stato come Midnight Blizzard.

Scoperti attacchi informatici “Midnight Blizzard”: la battaglia di Microsoft contro le minacce informatiche sponsorizzate dallo Stato screenshot