Didžiulis Kinijos robotų tinklas, sudarytas iš 130 000 įrenginių, skirtas „Microsoft 365“ paskyroms
Su Kinija susietas galingas robotų tinklas buvo užfiksuotas pradėdamas didelio masto slaptažodžių purškimo atakas prieš „Microsoft 365“ paskyras, todėl įmonėms ir organizacijoms kyla rimtas pavojus. „SecurityScorecard“ duomenimis, šį robotų tinklą skatina stulbinantis 130 000 pažeistų įrenginių, todėl jis yra viena didžiausių tokio pobūdžio kibernetinių grėsmių.
Turinys
Kaip veikia ataka
Šis robotų tinklas naudoja neinteraktyvų prisijungimą ir pagrindinį autentifikavimą – dvi silpnąsias „Microsoft 365“ saugos vietas, kurios leidžia užpuolikams išbandyti pavogtus kredencialus nesuaktyvinant kelių veiksnių autentifikavimo daugelyje konfigūracijų.
Neinteraktyvūs prisijungimai dažnai naudojami autentifikavimui tarp paslaugų ir pasenusiems protokolams, pvz., POP, IMAP ir SMTP, todėl saugos komandos juos mažiau tikrina. Pagrindinis autentifikavimas, nors „Microsoft“ jo nebenaudojamas, kai kuriose aplinkose vis dar aktyvus, todėl kredencialus galima perduoti paprastu tekstu – tai lengvas įsilaužėlių taikinys.
Robotų tinklas paima pavogtus naudotojų vardus ir slaptažodžius, kuriuos dažnai renka „infostealer“ kenkėjiška programa, ir sistemingai tikrina juos pagal „Microsoft 365“ paskyras. Jei pasiseks, užpuolikai gauna prieigą prie neskelbtinų duomenų, sutrikdo verslo operacijas ir juda į šonus organizacijoje.
Kodėl šį išpuolį sunku aptikti
Vienas iš baisiausių šios atakos aspektų yra jo slaptumas. Kadangi slaptažodžio išpurškimo bandymai registruojami naudojant neinteraktyvius prisijungimus, daugelis saugos komandų nesugeba atidžiai stebėti šių įrašų. Tai leidžia užpuolikams paslysti po radaru, kol jie sistemingai bando įsilaužti į paskyras.
„SecurityScorecard“ taip pat nustatė JAV komandų ir valdymo serverius, kurie per keturias valandas bendravo su 130 000 užkrėstų įrenginių. Šie įrenginiai, greičiausiai didesnio pasaulinio tinklo dalis, leidžia užpuolikams greitai išplėsti savo veiklą.
Kas yra už robotų tinklo?
Nors išpuolis buvo siejamas su Kinijos grėsmių grupe, priskyrimas tebėra tiriamas. Tačiau šis botnetas turi panašių bruožų su anksčiau nustatytomis Kinijos kibernetinio šnipinėjimo kampanijomis.
Pažymėtina, kad 2024 m. spalio mėn. „Microsoft“ pranešė, kad keli Kinijos grėsmių veikėjai naudojosi pavogtais kredencialais, susijusiais su didelio masto slaptažodžių išpurškimo operacija. Ši kampanija buvo susieta su pažeistais tinklais, žinomais kaip CovertNetwork-1658, Xlogin ir Quad7.
Kaip apsaugoti savo organizaciją
Kadangi šis robotų tinklas aktyviai taikomas „Microsoft 365“ paskyroms, organizacijos turi nedelsiant imtis veiksmų, kad sustiprintų savo saugumą:
- Išjunkite pagrindinį autentifikavimą, jei jis vis dar įjungtas jūsų aplinkoje.
- Įgalinkite šiuolaikinį autentifikavimą ir kelių veiksnių autentifikavimą visiems vartotojams, ypač neinteraktyviems prisijungimams.
- Reguliariai stebėkite neinteraktyvius prisijungimo žurnalus, ar nėra neįprastų prisijungimo šablonų.
- Naudokite stiprius, unikalius slaptažodžius, kad išvengtumėte slaptažodžių išpurškimo, taikydami griežtą slaptažodžių politiką ir vykdydami reguliarius pakeitimus.
- Įdiekite galutinio taško saugos sprendimus, kad apsaugotumėte nuo informacijos vagysčių kenkėjiškų programų, kurias įsilaužėliai naudoja kredencialams rinkti.
- Jei įmanoma, geografiškai apribokite prieigą prie „Microsoft 365“ paskyrų, apribodami prisijungimus pagal geografines vietas.
Paskutinės mintys
130 000 įrenginių robotų tinklas, skirtas Microsoft 365, yra ryškus priminimas, kad slaptažodžiu pagrįstos atakos šiandien vis dar yra viena didžiausių grėsmių kibernetiniam saugumui. Kadangi daugelis organizacijų vis dar remiasi pasenusiais autentifikavimo metodais, užpuolikai ir toliau naudojasi šiais trūkumais.
Aktyviai apsaugodamos „Microsoft 365“ aplinkas, stebėdamos neįprastą veiklą ir vykdydamos griežtą autentifikavimo politiką, įmonės gali sumažinti riziką tapti šios itin sudėtingos atakos aukomis.