Atacurile cibernetice „Midnight Blizzard” descoperite: bătălia Microsoft împotriva amenințărilor cibernetice sponsorizate de stat

Microsoft a dezvăluit recent o încălcare îngrijorătoare comisă de un grup de hacking sponsorizat de stat rus, cunoscut sub numele de Midnight Blizzard. Atacatorii au folosit tactici sofisticate, inclusiv crearea de aplicații OAuth rău intenționate, manipularea conturilor de utilizator și utilizarea rețelelor proxy rezidențiale pentru a-și ascunde activitățile. Această încălcare subliniază importanța măsurilor de securitate robuste pentru organizații.

Asociațiile Midnight Blizzard și Cozy Bear ies la lumină

La sfârșitul lui noiembrie 2023, Microsoft a căzut victima unui atac cibernetic orchestrat de Midnight Blizzard, cunoscut și sub numele de Cozy Bear. Hackerii au folosit atacuri prin pulverizare de parole pentru a compromite conturile de e-mail, vizand directorii seniori și angajații din echipele de securitate cibernetică și juridică. O analiză ulterioară a arătat că atacatorii au exploatat o aplicație OAuth de testare moștenită cu acces privilegiat la mediul IT corporativ al Microsoft. OAuth, un standard pentru autentificarea bazată pe token, a fost manipulat de hackeri care au creat aplicații OAuth rău intenționate suplimentare.

Tactica Midnight Blizzard s-a extins la crearea unui nou cont de utilizator, acordând aplicațiilor lor rău intenționate OAuth acces la cutiile poștale Office 365 Exchange. Acest acces le-a permis să descarce e-mailuri și fișiere pentru a măsura gradul de conștientizare de către Microsoft a activităților lor. Pentru a-și masca originea, atacatorii au folosit rețele proxy rezidențiale, direcționând traficul prin numeroase adrese IP utilizate de utilizatorii legitimi.

Cum să contracarăm încălcările de date și atacurile cibernetice

Pentru a contracara astfel de amenințări, Microsoft recomandă organizațiilor să efectueze audituri asupra privilegiilor utilizatorilor și serviciilor, concentrându-se în special pe identitățile neidentificate și aplicațiile cu privilegii ridicate. Aceștia recomandă examinarea identităților cu privilegii ApplicationImpersonation în Exchange Online, deoarece configurațiile greșite pot permite accesul neautorizat la cutiile poștale ale întreprinderii. De asemenea, sunt recomandate politicile de detectare a anomaliilor și controalele aplicațiilor cu acces condiționat pentru utilizatorii de pe dispozitive negestionate.

Impactul activităților Midnight Blizzard se extinde dincolo de Microsoft, așa cum demonstrează dezvăluirea de către Hewlett Packard Enterprise (HPE) a unui atac similar asupra sistemului său de e-mail bazat pe cloud în mai 2023. Acest incident, legat de o încercare anterioară de hacking, a dus la furtul de date de la cutii poștale HPE și acces la fișierele SharePoint.

Ca răspuns la aceste încălcări, organizațiile trebuie să rămână vigilente, implementând măsuri de securitate robuste pentru a atenua riscurile prezentate de grupurile de hacking sponsorizate de stat precum Midnight Blizzard.

Atacurile cibernetice „Midnight Blizzard” descoperite: bătălia Microsoft împotriva amenințărilor cibernetice sponsorizate de stat de capturi de ecran