Wykryto cyberataki „Midnight Blizzard”: walka Microsoftu z cyberzagrożeniami sponsorowanymi przez państwo
Firma Microsoft niedawno ujawniła niepokojące naruszenie, którego dopuściła się sponsorowana przez państwo rosyjska grupa hakerska znana jako Midnight Blizzard. Napastnicy stosowali wyrafinowane taktyki, obejmujące tworzenie złośliwych aplikacji OAuth, manipulowanie kontami użytkowników i wykorzystywanie domowych sieci proxy do ukrywania swoich działań. To naruszenie podkreśla znaczenie solidnych środków bezpieczeństwa dla organizacji.
Spis treści
Na światło dzienne wychodzą skojarzenia Midnight Blizzard i Cozy Bear
Pod koniec listopada 2023 roku Microsoft padł ofiarą cyberataku zorganizowanego przez firmę Midnight Blizzard, znaną również jako Cozy Bear. Hakerzy wykorzystali ataki polegające na rozpylaniu haseł w celu włamania się na konta e-mail, a ich celem była kadra kierownicza wyższego szczebla oraz pracownicy zespołów zajmujących się cyberbezpieczeństwem i prawnikami. Dalsza analiza wykazała, że napastnicy wykorzystali starszą testową aplikację OAuth z uprzywilejowanym dostępem do korporacyjnego środowiska IT firmy Microsoft. OAuth, standard uwierzytelniania opartego na tokenach, został zmanipulowany przez hakerów, którzy stworzyli dodatkowe złośliwe aplikacje OAuth.
Taktyka Midnight Blizzard rozszerzyła się na utworzenie nowego konta użytkownika, zapewniając złośliwym aplikacjom OAuth dostęp do skrzynek pocztowych Office 365 Exchange. Dostęp ten umożliwił im pobieranie e-maili i plików w celu sprawdzenia świadomości firmy Microsoft na temat ich działań. Aby zamaskować swoje pochodzenie, napastnicy wykorzystali domowe sieci proxy, kierując ruch przez liczne adresy IP używane przez legalnych użytkowników.
Jak przeciwdziałać naruszeniom danych i cyberatakom
Aby przeciwdziałać takim zagrożeniom, Microsoft zaleca organizacjom przeprowadzanie audytów uprawnień użytkowników i usług, ze szczególnym uwzględnieniem niezidentyfikowanych tożsamości i aplikacji o wysokich uprawnieniach. Zalecają sprawdzanie tożsamości za pomocą uprawnień ApplicationImpersonation w Exchange Online, ponieważ błędne konfiguracje mogą umożliwić nieautoryzowany dostęp do firmowych skrzynek pocztowych. Zalecane są również zasady wykrywania anomalii i kontrola aplikacji dostępu warunkowego dla użytkowników na urządzeniach niezarządzanych.
Wpływ działań Midnight Blizzard wykracza poza firmę Microsoft, czego dowodem jest ujawnienie przez firmę Hewlett Packard Enterprise (HPE) podobnego ataku na jej oparty na chmurze system poczty e-mail w maju 2023 r. Incydent ten, powiązany z wcześniejszą próbą włamania, spowodował kradzież danych z Skrzynki pocztowe HPE i dostęp do plików SharePoint.
W odpowiedzi na te naruszenia organizacje muszą zachować czujność, wdrażając solidne środki bezpieczeństwa w celu ograniczenia ryzyka stwarzanego przez sponsorowane przez państwo grupy hakerskie, takie jak Midnight Blizzard.
Wykryto cyberataki „Midnight Blizzard”: walka Microsoftu z cyberzagrożeniami sponsorowanymi przez państwo zrzutów ekranu
