Odhalené kybernetické útoky „Midnight Blizzard“: Boj Microsoftu proti štátom sponzorovaným kybernetickým hrozbám
Microsoft nedávno zverejnil znepokojivé porušenie, ktorého sa dopustila ruská štátom podporovaná hackerská skupina známa ako Midnight Blizzard. Útočníci použili sofistikované taktiky, vrátane vytvárania škodlivých aplikácií OAuth, manipulácie s používateľskými účtami a používania rezidenčných proxy sietí na zakrytie svojich aktivít. Toto porušenie podčiarkuje dôležitosť robustných bezpečnostných opatrení pre organizácie.
Obsah
Na svetlo sveta vychádzajú asociácie Midnight Blizzard a Cozy Bear
Koncom novembra 2023 sa Microsoft stal obeťou kybernetického útoku, ktorý zorganizoval Midnight Blizzard, známy aj ako Cozy Bear. Hackeri využili útoky sprejom hesiel na kompromitáciu e-mailových účtov, pričom sa zamerali na vedúcich pracovníkov a zamestnancov v tímoch kybernetickej bezpečnosti a právnikov. Ďalšia analýza odhalila, že útočníci zneužili staršiu testovaciu aplikáciu OAuth s privilegovaným prístupom do podnikového IT prostredia spoločnosti Microsoft. OAuth, štandard pre autentifikáciu založenú na tokenoch, bol zmanipulovaný hackermi, ktorí vytvorili ďalšie škodlivé aplikácie OAuth.
Taktika spoločnosti Midnight Blizzard sa rozšírila na vytvorenie nového používateľského účtu, čím sa ich škodlivým aplikáciám OAuth udelí prístup k poštovým schránkam Office 365 Exchange. Tento prístup im umožnil sťahovať e-maily a súbory na meranie informovanosti spoločnosti Microsoft o ich aktivitách. Aby útočníci zamaskovali svoj pôvod, použili rezidenčné proxy siete, ktoré smerovali prevádzku cez množstvo IP adries používaných legitímnymi používateľmi.
Ako čeliť únikom údajov a kybernetickým útokom
V snahe čeliť takýmto hrozbám spoločnosť Microsoft odporúča organizáciám vykonávať audity používateľských a servisných privilégií, najmä so zameraním na neidentifikované identity a aplikácie s vysokými privilégiami. Odporúčajú kontrolovať identity s oprávneniami ApplicationImpersonation v Exchange Online, pretože nesprávne konfigurácie môžu umožniť neoprávnený prístup k podnikovým poštovým schránkam. Odporúčajú sa aj zásady detekcie anomálií a ovládacie prvky aplikácií podmieneného prístupu pre používateľov na nespravovaných zariadeniach.
Vplyv aktivít Midnight Blizzard presahuje Microsoft, čoho dôkazom je odhalenie podobného útoku spoločnosťou Hewlett Packard Enterprise (HPE) na jej cloudový e-mailový systém v máji 2023. Tento incident spojený s predchádzajúcim pokusom o hackerstvo viedol ku krádeži údajov z Poštové schránky HPE a prístup k súborom SharePoint.
V reakcii na tieto porušenia musia organizácie zostať ostražité a implementovať robustné bezpečnostné opatrenia na zmiernenie rizík, ktoré predstavujú štátom podporované hackerské skupiny, ako je Midnight Blizzard.
Odhalené kybernetické útoky „Midnight Blizzard“: Boj Microsoftu proti štátom sponzorovaným kybernetickým hrozbám snímok obrazovky
