Atklāti "Midnight Blizzard" kiberuzbrukumi: Microsoft cīņa pret valsts sponsorētiem kiberdraudiem
Microsoft nesen atklāja satraucošu pārkāpumu, ko izdarījusi Krievijas valsts sponsorēta hakeru grupa, kas pazīstama kā Midnight Blizzard. Uzbrucēji izmantoja sarežģītu taktiku, tostarp ļaunprātīgu OAuth lietojumprogrammu izveidi, manipulācijas ar lietotāju kontiem un dzīvojamo starpniekserveru tīklu izmantošanu, lai slēptu savas darbības. Šis pārkāpums uzsver stingru drošības pasākumu nozīmi organizācijām.
Satura rādītājs
Atklātībā nāk pusnakts putenis un Cozy Bear asociācijas
2023. gada novembra beigās Microsoft kļuva par upuri kiberuzbrukumam, ko organizēja Midnight Blizzard, kas pazīstams arī kā Cozy Bear. Hakeri izmantoja paroles izsmidzināšanas uzbrukumus, lai apdraudētu e-pasta kontus, mērķējot uz augstākā līmeņa vadītājiem un darbiniekiem kiberdrošības un juridiskajās komandās. Turpmāka analīze atklāja, ka uzbrucēji izmantoja mantoto testa OAuth lietojumprogrammu ar priviliģētu piekļuvi Microsoft korporatīvajai IT videi. OAuth — uz marķieri balstītas autentifikācijas standartu — manipulēja hakeri, kuri izveidoja papildu ļaunprātīgas OAuth lietojumprogrammas.
Midnight Blizzard taktika attiecās arī uz jauna lietotāja konta izveidi, piešķirot savām ļaunprātīgajām OAuth lietotnēm piekļuvi Office 365 Exchange pastkastēm. Šī piekļuve ļāva viņiem lejupielādēt e-pastus un failus, lai novērtētu Microsoft informētību par viņu darbībām. Lai maskētu savu izcelsmi, uzbrucēji izmantoja dzīvojamo starpniekserveru tīklus, maršrutējot trafiku caur daudzām IP adresēm, kuras izmanto likumīgi lietotāji.
Kā cīnīties pret datu pārkāpumiem un kiberuzbrukumiem
Lai novērstu šādus draudus, Microsoft iesaka organizācijām veikt lietotāju un pakalpojumu privilēģiju auditus, īpaši koncentrējoties uz neidentificētām identitātēm un augstu privilēģiju lietojumprogrammām. Viņi iesaka rūpīgi pārbaudīt identitātes ar ApplicationImpersonation privilēģijām programmā Exchange Online, jo nepareiza konfigurācija var nodrošināt nesankcionētu piekļuvi uzņēmuma pastkastēm. Ieteicamas ir arī anomāliju noteikšanas politikas un ierobežotas piekļuves lietotņu vadīklas lietotājiem nepārvaldītās ierīcēs.
Midnight Blizzard darbību ietekme pārsniedz Microsoft, par ko liecina Hewlett Packard Enterprise (HPE) atklātība par līdzīgu uzbrukumu savai mākoņa e-pasta sistēmai 2023. gada maijā. Šis incidents, kas saistīts ar iepriekšēju uzlaušanas mēģinājumu, izraisīja datu zādzību no HPE pastkastes un piekļuve SharePoint failiem.
Reaģējot uz šiem pārkāpumiem, organizācijām ir jāsaglabā modrība, ieviešot stingrus drošības pasākumus, lai mazinātu riskus, ko rada valsts sponsorētas hakeru grupas, piemēram, Midnight Blizzard.
Atklāti “Midnight Blizzard” kiberuzbrukumi: Microsoft cīņa pret valsts sponsorētiem kiberdraudiem ekrānuzņēmumi
