Cyberaanvallen 'Midnight Blizzard' ontdekt: Microsoft's strijd tegen door de staat gesponsorde cyberdreigingen

Microsoft heeft onlangs een zorgwekkende inbreuk bekendgemaakt die is gepleegd door een door de Russische staat gesponsorde hackgroep, bekend als Midnight Blizzard. De aanvallers gebruikten geavanceerde tactieken, waaronder het maken van kwaadaardige OAuth-applicaties, manipulatie van gebruikersaccounts en het gebruik van residentiële proxynetwerken om hun activiteiten te verbergen. Deze inbreuk onderstreept het belang van robuuste beveiligingsmaatregelen voor organisaties.

Associaties Midnight Blizzard en Cosy Bear komen aan het licht

Eind november 2023 werd Microsoft het slachtoffer van een cyberaanval georkestreerd door Midnight Blizzard, ook wel bekend als Cosy Bear. De hackers maakten gebruik van wachtwoordspray-aanvallen om e-mailaccounts in gevaar te brengen, waarbij ze zich richtten op senior executives en werknemers in cyberbeveiligings- en juridische teams. Uit verdere analyse bleek dat de aanvallers misbruik maakten van een verouderde OAuth-testtoepassing met geprivilegieerde toegang tot de IT-bedrijfsomgeving van Microsoft. OAuth, een standaard voor op tokens gebaseerde authenticatie, werd gemanipuleerd door de hackers die aanvullende kwaadaardige OAuth-applicaties creëerden.

De tactieken van Midnight Blizzard strekten zich uit tot het maken van een nieuw gebruikersaccount, waardoor hun kwaadaardige OAuth-apps toegang kregen tot Office 365 Exchange-mailboxen. Dankzij deze toegang konden ze e-mails en bestanden downloaden om te peilen in hoeverre Microsoft op de hoogte was van hun activiteiten. Om hun oorsprong te maskeren, maakten de aanvallers gebruik van residentiële proxynetwerken, waarbij het verkeer via talloze IP-adressen werd geleid die door legitieme gebruikers werden gebruikt.

Hoe datalekken en cyberaanvallen tegen te gaan

Om dergelijke bedreigingen tegen te gaan, raadt Microsoft organisaties aan audits uit te voeren op gebruikers- en servicerechten, waarbij de nadruk vooral moet liggen op niet-geïdentificeerde identiteiten en toepassingen met hoge bevoegdheden. Ze adviseren om identiteiten met ApplicationImpersonation-rechten in Exchange Online onder de loep te nemen, omdat verkeerde configuraties ongeautoriseerde toegang tot bedrijfsmailboxen mogelijk kunnen maken. Beleid voor afwijkende detectie en app-controles voor voorwaardelijke toegang voor gebruikers op onbeheerde apparaten worden ook aanbevolen.

De impact van de activiteiten van Midnight Blizzard reikt verder dan Microsoft, zoals blijkt uit de onthulling door Hewlett Packard Enterprise (HPE) van een soortgelijke aanval op zijn cloudgebaseerde e-mailsysteem in mei 2023. Dit incident, gekoppeld aan een eerdere hackpoging, resulteerde in gegevensdiefstal van HPE-mailboxen en toegang tot SharePoint-bestanden.

Als reactie op deze inbreuken moeten organisaties waakzaam blijven en robuuste beveiligingsmaatregelen implementeren om de risico's van door de staat gesponsorde hackgroepen zoals Midnight Blizzard te beperken.

Cyberaanvallen 'Midnight Blizzard' ontdekt: Microsoft's strijd tegen door de staat gesponsorde cyberdreigingen schermafbeeldingen