Odkriti kibernetski napadi 'Midnight Blizzard': Microsoftov boj proti kibernetskim grožnjam, ki jih sponzorira država

Microsoft je pred kratkim razkril zaskrbljujočo kršitev, ki jo je zagrešila hekerska skupina, ki jo sponzorira ruska država, znana kot Midnight Blizzard. Napadalci so uporabili prefinjene taktike, vključno z ustvarjanjem zlonamernih aplikacij OAuth, manipulacijo uporabniških računov in uporabo domačih proxy omrežij za prikrivanje svojih dejavnosti. Ta kršitev poudarja pomen močnih varnostnih ukrepov za organizacije.

Na dan pridejo asociacije Midnight Blizzard in Cosy Bear

Konec novembra 2023 je Microsoft postal žrtev kibernetskega napada, ki ga je orkestriral Midnight Blizzard, znan tudi kot Cosy Bear. Hekerji so uporabili napade z razprševanjem gesel, da bi ogrozili e-poštne račune, pri čemer so ciljali na višje vodstvene delavce in zaposlene v ekipah za kibernetsko varnost in pravnih ekipah. Nadaljnja analiza je pokazala, da so napadalci izkoristili podedovano testno aplikacijo OAuth s privilegiranim dostopom do Microsoftovega okolja IT podjetja. OAuth, standard za avtentikacijo na podlagi žetonov, so manipulirali hekerji, ki so ustvarili dodatne zlonamerne aplikacije OAuth.

Taktika Midnight Blizzard se je razširila na ustvarjanje novega uporabniškega računa, ki je njihovim zlonamernim aplikacijam OAuth omogočil dostop do nabiralnikov Office 365 Exchange. Ta dostop jim je omogočil prenos e-pošte in datotek, da bi ocenili Microsoftovo zavedanje o njihovih dejavnostih. Da bi prikrili svoj izvor, so napadalci uporabili rezidenčna posredniška omrežja in usmerjali promet prek številnih naslovov IP, ki jih uporabljajo zakoniti uporabniki.

Kako se zoperstaviti vdorom podatkov in kibernetskim napadom

Za boj proti takšnim grožnjam Microsoft priporoča organizacijam, da izvajajo revizije uporabniških in storitvenih privilegijev, s posebnim poudarkom na neznanih identitetah in aplikacijah z visokimi privilegiji. Svetujejo, da natančno preučite identitete s privilegiji ApplicationImpersonation v Exchange Online, saj lahko napačne konfiguracije omogočijo nepooblaščen dostop do nabiralnikov podjetja. Priporočljivi so tudi pravilniki za zaznavanje nepravilnosti in kontrolniki aplikacij za pogojni dostop za uporabnike na neupravljanih napravah.

Vpliv dejavnosti Midnight Blizzard presega Microsoft, kar dokazuje razkritje Hewlett Packard Enterprise (HPE) o podobnem napadu na njegov e-poštni sistem v oblaku maja 2023. Ta incident, povezan s predhodnim poskusom vdora, je povzročil krajo podatkov iz Nabiralniki HPE in dostop do datotek SharePoint.

V odgovor na te kršitve morajo organizacije ostati pazljive in izvajati stroge varnostne ukrepe za ublažitev tveganj, ki jih predstavljajo hekerske skupine, ki jih sponzorira država, kot je Midnight Blizzard.

Odkriti kibernetski napadi 'Midnight Blizzard': Microsoftov boj proti kibernetskim grožnjam, ki jih sponzorira država posnetkov zaslona