Atskleistos „Vidurnakčio pūgos“ kibernetinės atakos: „Microsoft“ kova su valstybės remiamomis kibernetinėmis grėsmėmis

„Microsoft“ neseniai paskelbė apie pažeidimą, kurį padarė Rusijos valstybės remiama programišių grupė, žinoma kaip „Midnight Blizzard“. Užpuolikai taikė sudėtingą taktiką, įskaitant kenkėjiškų OAuth programų kūrimą, manipuliavimą vartotojų abonementais ir gyvenamųjų tarpinių serverių tinklų naudojimą, kad nuslėptų savo veiklą. Šis pažeidimas pabrėžia patikimų saugumo priemonių svarbą organizacijoms.

Išryškėja „Midnight Blizzard“ ir „Cozy Bear“ asociacijos

2023 m. lapkričio pabaigoje „Microsoft“ tapo kibernetinės atakos, kurią surengė Midnight Blizzard, dar žinomos kaip „Jaukus lokys“, auka. Įsilaužėliai panaudojo slaptažodžių išpurškimo atakas, siekdami pakenkti el. pašto paskyroms, nusitaikydami į vyresniuosius vadovus ir kibernetinio saugumo bei teisininkų komandų darbuotojus. Tolesnė analizė atskleidė, kad užpuolikai išnaudojo seną bandomąją OAuth programą su privilegijuota prieiga prie „Microsoft“ įmonės IT aplinkos. „OAuth“, žetonais pagrįsto autentifikavimo standartą, manipuliavo įsilaužėliai, sukūrę papildomų kenkėjiškų „OAuth“ programų.

„Midnight Blizzard“ taktika buvo išplėsta iki naujo vartotojo abonemento sukūrimo, suteikiant savo kenkėjiškoms „OAuth“ programoms prieigą prie „Office 365 Exchange“ pašto dėžučių. Ši prieiga leido jiems atsisiųsti el. laiškus ir failus, kad įvertintų „Microsoft“ informuotumą apie jų veiklą. Norėdami nuslėpti savo kilmę, užpuolikai naudojo gyvenamuosius tarpinius serverius, nukreipdami srautą per daug IP adresų, kuriuos naudoja teisėti vartotojai.

Kaip kovoti su duomenų pažeidimais ir kibernetinėmis atakomis

Siekdama kovoti su tokiomis grėsmėmis, „Microsoft“ rekomenduoja organizacijoms atlikti vartotojų ir paslaugų privilegijų auditą, ypač sutelkiant dėmesį į neidentifikuotas tapatybes ir aukštų privilegijų programas. Jie pataria kruopščiai tikrinti tapatybes naudojant „Exchange Online“ „ApplicationImpersonation“ privilegijas, nes netinkamos konfigūracijos gali suteikti neteisėtą prieigą prie įmonės pašto dėžučių. Taip pat rekomenduojamos anomalijų aptikimo strategijos ir sąlyginės prieigos programų valdikliai nevaldomų įrenginių naudotojams.

„Midnight Blizzard“ veiklos poveikis neapsiriboja „Microsoft“ – tai liudija „Hewlett Packard Enterprise“ (HPE) atskleidimas apie panašią ataką prieš savo debesijos pagrindu veikiančią el. pašto sistemą 2023 m. gegužę. Šis incidentas, susijęs su ankstesniu bandymu įsilaužti, baigėsi duomenų vagyste iš HPE pašto dėžutės ir prieiga prie SharePoint failų.

Reaguodamos į šiuos pažeidimus, organizacijos turi išlikti budrios ir įgyvendinti tvirtas saugumo priemones, kad sumažintų valstybės remiamų įsilaužimo grupių, tokių kaip Midnight Blizzard, keliamą riziką.

Atskleistos „Vidurnakčio pūgos“ kibernetinės atakos: „Microsoft“ kova su valstybės remiamomis kibernetinėmis grėsmėmis ekrano kopijos