Microsoft wyjaśnia, w jaki sposób rosyjscy hakerzy szpiegowali jego kadrę kierowniczą


Microsoftu ujawnione w zeszłym tygodniu że odkrył atak państwa narodowego na jej systemy korporacyjne ze strony sponsorowanych przez państwo rosyjskich hakerów, którzy stali za Atak SolarWinds. Hakerom udało się uzyskać dostęp do kont e-mail niektórych członków wyższego kierownictwa Microsoftu, potencjalnie szpiegując ich tygodniami lub miesiącami.

Chociaż Microsoft nie podał wielu szczegółów na temat tego, w jaki sposób napastnicy uzyskali dostęp w swoim wstępnym ujawnieniu SEC pod koniec piątku, producent oprogramowania opublikował wstępną analizę o tym, jak hakerzy ominęli zabezpieczenia. Ostrzega również, że ta sama grupa hakerska, znana jako Nobelium lub „Midnight Blizzard” z motywem pogodowym pseudonim Microsoft odnosi się do nich, atakuje inne organizacje.

Początkowo firma Nobelium uzyskała dostęp do systemów Microsoftu za pomocą ataku polegającego na rozpylaniu hasła. Ten rodzaj ataku to atak typu brute-force, w ramach którego hakerzy korzystają ze słownika potencjalnych haseł do kont. Co najważniejsze, konto dzierżawy testowej nieprodukcyjnej, które zostało naruszone, nie miało włączonego uwierzytelniania dwuskładnikowego. Firma Nobelium „dostosowała swoje ataki polegające na rozpylaniu haseł do ograniczonej liczby kont, stosując niewielką liczbę prób uniknięcia wykrycia” – twierdzi Microsoft.

W wyniku tego ataku grupa „wykorzystała swój początkowy dostęp, aby zidentyfikować i złamać zabezpieczenia starszej testowej aplikacji OAuth, która miała podwyższony dostęp do środowiska korporacyjnego Microsoft”. OAuth to szeroko stosowany otwarty standard uwierzytelniania opartego na tokenach. Jest powszechnie używany w Internecie, aby umożliwić logowanie się do aplikacji i usług bez konieczności podawania hasła w witrynie internetowej. Pomyśl o witrynach, do których możesz logować się za pomocą konta Gmail – oto OAuth w akcji.

Ten podwyższony poziom dostępu umożliwił grupie tworzenie bardziej złośliwych aplikacji OAuth i tworzenie kont umożliwiających dostęp do środowiska korporacyjnego firmy Microsoft, a ostatecznie do usługi Office 365 Exchange Online, która zapewnia dostęp do skrzynek odbiorczych poczty e-mail.

„Midnight Blizzard wykorzystał te złośliwe aplikacje OAuth do uwierzytelnienia w Microsoft Exchange Online i obrania za cel firmowych kont e-mail firmy Microsoft” – wyjaśnia zespół Microsoft ds. bezpieczeństwa.

Reklama

Firma Microsoft nie ujawniła, ile z jej firmowych kont e-mail było celem ataków i do ilu uzyskiwano dostęp, ale firma opisała to wcześniej jako „bardzo mały procent korporacyjnych kont e-mail Microsoft, obejmujący członków naszego wyższego kierownictwa oraz pracowników działów ds. cyberbezpieczeństwa, prawnych, i inne funkcje.”

Microsoft nadal nie ujawnił dokładnego harmonogramu, jak długo hakerzy szpiegowali jego wyższą kadrę kierowniczą i innych pracowników. Początkowy atak miał miejsce pod koniec listopada 2023 r., ale Microsoft odkrył go dopiero 12 stycznia. Może to oznaczać, że napastnicy szpiegowali kadrę kierowniczą Microsoftu przez prawie dwa miesiące.

Hewlett Packard Enterprise (HPE) ujawniono na początku tego tygodnia że ta sama grupa hakerów uzyskała wcześniej dostęp do „chmurowego środowiska poczty elektronicznej”. HPE nie podała nazwy dostawcy, ale ujawniła, że ​​incydent był „prawdopodobnie związany” z „eksfiltracją ograniczonej liczby [Microsoft] Pliki SharePoint już w maju 2023 r.”

Atak na Microsoft miał miejsce zaledwie kilka dni po ogłoszeniu przez firmę swojego ataku planuje dokonać przeglądu zabezpieczeń swojego oprogramowania po poważnych atakach na chmurę Azure. To najnowszy incydent dotyczący cyberbezpieczeństwa, który dotknął firmę Microsoft po tym, jak 30 000 organizacji serwery poczty e-mail zostały zhakowane w 2021 r. z powodu wady Microsoft Exchange Server i chińskich hakerów włamał się do poczty elektronicznej rządu USA w zeszłym roku za pośrednictwem exploita w chmurze Microsoftu. Microsoft znalazł się także niemal w centrum gigantycznego ataku SolarWinds trzy lata temuprzeprowadzonej przez tę samą grupę Nobelium, która stoi za tym żenującym atakiem e-mailowym na kierownictwo.

Przyznanie się Microsoftu do braku uwierzytelniania dwuskładnikowego na najwyraźniej kluczowym koncie testowym prawdopodobnie wywoła zdziwienie w społeczności zajmującej się cyberbezpieczeństwem. Chociaż nie była to luka w oprogramowaniu Microsoftu, był to zestaw źle skonfigurowanych środowisk testowych, które umożliwiły hakerom ciche poruszanie się po sieci korporacyjnej Microsoftu. „W jaki sposób nieprodukcyjne środowisko testowe prowadzi do kompromisu wśród najwyższych urzędników w Microsoft?” – zapytał dyrektor generalny CrowdStrike, George Kurtz wywiad dla CNBC wcześniej w tym tygodniu. „Myślę, że jeszcze wiele wyjdzie na ten temat”.

Kurtz miał rację, wyszło na jaw więcej, ale nadal brakuje kilku kluczowych szczegółów. Microsoft twierdzi, że gdyby dzisiaj wdrożono to samo nieprodukcyjne środowisko testowe, „obowiązkowe zasady i przepływy pracy firmy Microsoft zapewniłyby włączenie usługi MFA i naszych aktywnych zabezpieczeń”, aby lepiej chronić przed tymi atakami. Microsoft ma jeszcze wiele do wyjaśnienia, zwłaszcza jeśli chce, aby jego klienci wierzyli, że naprawdę ulepsza sposób, w jaki projektuje, buduje, testuje i obsługuje swoje oprogramowanie i usługi, aby lepiej chronić przed zagrożeniami bezpieczeństwa.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

SolidRun przedstawia moduł komunikacyjny Ryzen V3000 CX7

SolidRun, wiodący deweloper i producent wysokowydajnych rozwiązań System on Module (SOM), komputerów jednopłytkowych (SBC) i rozwiązań brzegowych sieci, ogłosił dzisiaj wprowadzenie na rynek...

Razer demonstruje przyszłość gamingowej technologii dotykowej dzięki Sensa HD Haptics i Project Esther

Gracze uwielbiają oglądać transmisje na żywo, widzieć, jak ich ulubieni gracze wykonują niesamowite zagrania i wygrywają – ale co by było, gdybyśmy mogli...

Samsung opracowuje pierwszą w branży pamięć DRAM HBM3E 12H o pojemności 36 GB

Firma Samsung Electronics, światowy lider w dziedzinie zaawansowanych technologii pamięci, ogłosiła dzisiaj, że opracowała pamięć HBM3E 12H, pierwszą w branży 12-stosową pamięć DRAM...
Advertisment