Descobertos Ataques Cibernéticos do 'Midnight Blizzard': A Batalha da Microsoft contra Ameaças Cibernéticas Patrocinadas pelo Estado

A Microsoft divulgou recentemente uma violação preocupante perpetrada por um grupo de hackers patrocinado pelo Estado russo conhecido como Midnight Blizzard. Os invasores empregaram táticas sofisticadas, incluindo a criação de aplicativos OAuth maliciosos, a manipulação de contas de usuários e o uso de redes proxy residenciais para ocultar suas atividades. Esta violação sublinha a importância de medidas de segurança robustas para as organizações.

As Associações do Midnight Blizzard e o Cosy Bear Vêm à Tona

No final de novembro de 2023, a Microsoft foi vítima de um ataque cibernético orquestrado pelo Midnight Blizzard, também conhecida como Cozy Bear. Os hackers utilizaram ataques de spray de senha para comprometer contas de e-mail, visando executivos seniores e funcionários de equipes jurídicas e de segurança cibernética. Uma análise mais aprofundada revelou que os invasores exploraram um aplicativo OAuth de teste herdado com acesso privilegiado ao ambiente de TI corporativo da Microsoft. OAuth, um padrão para autenticação baseada em token, foi manipulado pelos hackers que criaram aplicativos OAuth maliciosos adicionais.

As táticas do Midnight Blizzard se estenderam à criação de uma nova conta de usuário, concedendo aos seus aplicativos OAuth maliciosos acesso às caixas de correio do Office 365 Exchange. Esse acesso permitiu que baixassem e-mails e arquivos para avaliar o conhecimento da Microsoft sobre suas atividades. Para mascarar a sua origem, os atacantes utilizaram redes proxy residenciais, encaminhando o tráfego através de numerosos endereços de IP utilizados por utilizadores legítimos.

Como Combater Violações de Dados e Ataques Cibernéticos

Para combater essas ameaças, a Microsoft recomenda que as organizações realizem auditorias sobre privilégios de usuários e serviços, concentrando-se particularmente em identidades não identificadas e aplicativos de alto privilégio. Eles aconselham o exame minucioso de identidades com privilégios ApplicationImpersonation no Exchange Online, pois configurações incorretas podem permitir acesso não autorizado a caixas de correio corporativas. Políticas de detecção de anomalias e controles de aplicativos de acesso condicional para usuários em dispositivos não gerenciados também são recomendados.

O impacto das atividades do Midnight Blizzard vai além da Microsoft, conforme evidenciado pela divulgação pela Hewlett Packard Enterprise (HPE) de um ataque semelhante ao seu sistema de e-mail baseado em nuvem em maio de 2023. Este incidente, ligado a uma tentativa anterior de hacking, resultou no roubo de dados de Caixas de correio HPE e acesso a arquivos do SharePoint.

Em resposta a estas violações, as organizações devem permanecer vigilantes, implementando medidas de segurança robustas para mitigar os riscos representados por grupos de hackers patrocinados pelo Estado, como o Midnight Blizzard.

Descobertos Ataques Cibernéticos do 'Midnight Blizzard': A Batalha da Microsoft contra Ameaças Cibernéticas Patrocinadas pelo Estado capturas de tela