'Midnight Blizzard' cyberangrep avdekket: Microsofts kamp mot statssponsede cybertrusler
Microsoft avslørte nylig et angående brudd begått av en russisk statsstøttet hackergruppe kjent som Midnight Blizzard. Angriperne brukte sofistikerte taktikker, inkludert opprettelse av ondsinnede OAuth-applikasjoner, manipulering av brukerkontoer og bruk av proxy-nettverk i hjemmet for å skjule aktivitetene deres. Dette bruddet understreker viktigheten av robuste sikkerhetstiltak for organisasjoner.
Innholdsfortegnelse
Midnight Blizzard og Cozy Bear assosiasjoner kommer frem i lyset
I slutten av november 2023 ble Microsoft offer for et nettangrep orkestrert av Midnight Blizzard, også kjent som Cozy Bear. Hackerne brukte passordsprayangrep for å kompromittere e-postkontoer, rettet mot toppledere og ansatte i cybersikkerhet og juridiske team. Ytterligere analyse avslørte at angriperne utnyttet en eldre test OAuth-applikasjon med privilegert tilgang til Microsofts IT-miljø. OAuth, en standard for token-basert autentisering, ble manipulert av hackerne som opprettet ytterligere ondsinnede OAuth-applikasjoner.
Midnight Blizzards taktikk utvidet seg til å opprette en ny brukerkonto, og gi deres ondsinnede OAuth-apper tilgang til Office 365 Exchange-postbokser. Denne tilgangen tillot dem å laste ned e-poster og filer for å måle Microsofts bevissthet om aktivitetene deres. For å maskere sin opprinnelse, brukte angriperne boligproxy-nettverk, og dirigerte trafikk gjennom en rekke IP-adresser brukt av legitime brukere.
Hvordan motvirke datainnbrudd og cyberangrep
For å motvirke slike trusler anbefaler Microsoft organisasjoner å gjennomføre revisjoner av bruker- og tjenesteprivilegier, spesielt med fokus på uidentifiserte identiteter og høyprivilegerte applikasjoner. De anbefaler å granske identiteter med ApplicationImpersonation-rettigheter i Exchange Online, ettersom feilkonfigurasjoner kan muliggjøre uautorisert tilgang til bedriftspostbokser. Retningslinjer for oppdagelse av avvik og appkontroller med betinget tilgang for brukere på ikke-administrerte enheter anbefales også.
Effekten av Midnight Blizzards aktiviteter strekker seg utover Microsoft, som bevist av Hewlett Packard Enterprise (HPE) avsløring av et lignende angrep på det skybaserte e-postsystemet i mai 2023. Denne hendelsen, knyttet til et tidligere hackingforsøk, resulterte i datatyveri fra HPE-postbokser og tilgang til SharePoint-filer.
Som svar på disse bruddene, må organisasjoner være på vakt og implementere robuste sikkerhetstiltak for å redusere risikoen fra statsstøttede hackergrupper som Midnight Blizzard.
'Midnight Blizzard' cyberangrep avdekket: Microsofts kamp mot statssponsede cybertrusler skjermbilder
