Zbulohen sulmet kibernetike të 'Midnight Blizzard': Beteja e Microsoft kundër kërcënimeve kibernetike të sponsorizuara nga shteti

Microsoft së fundmi zbuloi një shkelje shqetësuese të kryer nga një grup hakerash i sponsorizuar nga shteti rus i njohur si Midnight Blizzard. Sulmuesit përdorën taktika të sofistikuara, duke përfshirë krijimin e aplikacioneve me qëllim të keq OAuth, manipulimin e llogarive të përdoruesve dhe përdorimin e rrjeteve proxy rezidenciale për të fshehur aktivitetet e tyre. Kjo shkelje nënvizon rëndësinë e masave të forta të sigurisë për organizatat.

Shoqatat Midnight Blizzard dhe Cozy Bear dalin në dritë

Në fund të nëntorit 2023, Microsoft ra viktimë e një sulmi kibernetik të orkestruar nga Midnight Blizzard, i njohur gjithashtu si Cozy Bear. Hakerët përdorën sulme me spërkatje të fjalëkalimeve për të komprometuar llogaritë e emailit, duke synuar drejtuesit e lartë dhe punonjësit në sigurinë kibernetike dhe ekipet ligjore. Analiza e mëtejshme zbuloi se sulmuesit shfrytëzuan një aplikacion të vjetër të testit OAuth me akses të privilegjuar në mjedisin e korporatës IT të Microsoft. OAuth, një standard për vërtetimin e bazuar në token, u manipulua nga hakerat që krijuan aplikacione shtesë me qëllim të keq OAuth.

Taktikat e Midnight Blizzard u shtrinë në krijimin e një llogarie të re përdoruesi, duke u dhënë aplikacioneve të tyre keqdashëse OAuth akses në kutitë postare të Office 365 Exchange. Kjo qasje i lejoi ata të shkarkonin email dhe skedarë për të vlerësuar ndërgjegjësimin e Microsoft për aktivitetet e tyre. Për të maskuar origjinën e tyre, sulmuesit përdorën rrjete proxy rezidenciale, duke kursyer trafikun përmes adresave të shumta IP të përdorura nga përdoruesit e ligjshëm.

Si të kundërshtoni shkeljet e të dhënave dhe sulmet kibernetike

Për t'iu kundërvënë kërcënimeve të tilla, Microsoft rekomandon organizatat që të kryejnë auditime mbi privilegjet e përdoruesve dhe shërbimeve, veçanërisht duke u fokusuar në identitete të paidentifikuara dhe aplikacione me privilegje të larta. Ata këshillojnë shqyrtimin e imtësishëm të identiteteve me privilegjet e ApplicationImpersonation në Exchange Online, pasi konfigurimet e gabuara mund të mundësojnë akses të paautorizuar në kutitë postare të ndërmarrjes. Rekomandohen gjithashtu politikat e zbulimit të anomalive dhe kontrollet e aplikacionit të aksesit të kushtëzuar për përdoruesit në pajisjet e pamenaxhuara.

Ndikimi i aktiviteteve të Midnight Blizzard shtrihet përtej Microsoft-it, siç dëshmohet nga zbulimi i Hewlett Packard Enterprise (HPE) i një sulmi të ngjashëm në sistemin e saj të postës elektronike të bazuar në cloud në maj 2023. Ky incident, i lidhur me një përpjekje të mëparshme hakerimi, rezultoi në vjedhje të të dhënave nga Kutitë postare HPE dhe aksesi në skedarët e SharePoint.

Në përgjigje të këtyre shkeljeve, organizatat duhet të qëndrojnë vigjilente, duke zbatuar masa të forta sigurie për të zbutur rreziqet e paraqitura nga grupet e hakerave të sponsorizuara nga shteti si Midnight Blizzard.

Zbulohen sulmet kibernetike të 'Midnight Blizzard': Beteja e Microsoft kundër kërcënimeve kibernetike të sponsorizuara nga shteti pamje nga ekrani