Η Microsoft αποκάλυψε την περασμένη εβδομάδα ότι είχε ανακαλύψει μια επίθεση εθνικού κράτους στα εταιρικά της συστήματα από τους ρωσικούς κρατικά υποστηριζόμενους χάκερς που βρίσκονταν πίσω από την επίθεση της SolarWinds. Οι χάκερ είχαν πρόσβαση στους λογαριασμούς ηλεκτρονικού ταχυδρομείου ορισμένων μελών της ανώτερης ηγετικής ομάδας της Microsoft – ενδεχομένως κατασκοπεύοντάς τους για εβδομάδες ή μήνες.
Ενώ η Microsoft δεν παρείχε πολλές λεπτομέρειες σχετικά με το πώς οι επιτιθέμενοι απέκτησαν πρόσβαση στην αρχική της αποκάλυψη στην Επιτροπή Κεφαλαιαγοράς αργά την Παρασκευή, η κατασκευάστρια εταιρεία λογισμικού δημοσίευσε τώρα μια αρχική ανάλυση για το πώς οι χάκερς πέρασαν την ασφάλειά της. Προειδοποιεί επίσης ότι η ίδια ομάδα χάκερ, γνωστή ως Nobelium ή όπως τους αποκαλεί η Microsoft με το παρατσούκλι “Midnight Blizzard” με θέμα τον καιρό, έχει βάλει στο στόχαστρο και άλλους οργανισμούς.
Η Nobelium αρχικά απέκτησε πρόσβαση στα συστήματα της Microsoft μέσω επίθεσης με ψεκασμό κωδικών πρόσβασης. Αυτός ο τύπος επίθεσης είναι μια επίθεση ωμής βίας που βλέπει τους χάκερ να χρησιμοποιούν ένα λεξικό πιθανών κωδικών πρόσβασης εναντίον λογαριασμών. Το κρίσιμο είναι ότι ο λογαριασμός δοκιμαστικού μισθωτή μη παραγωγής που παραβιάστηκε δεν είχε ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων. Η Nobelium “προσάρμοσε τις επιθέσεις ψεκασμού κωδικών πρόσβασης σε περιορισμένο αριθμό λογαριασμών, χρησιμοποιώντας χαμηλό αριθμό προσπαθειών για να αποφύγει την ανίχνευση”, αναφέρει η Microsoft.
Από αυτή την επίθεση, η ομάδα “αξιοποίησε την αρχική της πρόσβαση για να εντοπίσει και να θέσει σε κίνδυνο μια παλαιά δοκιμαστική εφαρμογή OAuth που είχε αυξημένη πρόσβαση στο εταιρικό περιβάλλον της Microsoft”.
Το OAuth είναι ένα ευρέως χρησιμοποιούμενο ανοικτό πρότυπο για έλεγχο ταυτότητας με βάση το κουπόνι. Χρησιμοποιείται συνήθως σε όλο τον ιστό για να σας επιτρέπει να συνδεθείτε σε εφαρμογές και υπηρεσίες χωρίς να χρειάζεται να δώσετε σε έναν ιστότοπο τον κωδικό πρόσβασής σας. Σκεφτείτε τους ιστότοπους στους οποίους μπορεί να συνδεθείτε με το λογαριασμό σας στο Gmail, αυτό είναι το OAuth σε δράση.
Αυτή η αυξημένη πρόσβαση επέτρεψε στην ομάδα να δημιουργήσει πιο κακόβουλες εφαρμογές OAuth και να δημιουργήσει λογαριασμούς για πρόσβαση στο εταιρικό περιβάλλον της Microsoft και τελικά στην υπηρεσία Office 365 Exchange Online που παρέχει πρόσβαση στα εισερχόμενα email.
“Η Midnight Blizzard αξιοποίησε αυτές τις κακόβουλες εφαρμογές OAuth για να πιστοποιηθεί στο Microsoft Exchange Online και να στοχεύσει εταιρικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου της Microsoft”, εξηγεί η ομάδα ασφαλείας της Microsoft.
Η Microsoft δεν έχει αποκαλύψει πόσοι από τους εταιρικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου της αποτέλεσαν στόχο και είχαν πρόσβαση, αλλά η εταιρεία περιέγραψε προηγουμένως ότι πρόκειται για “ένα πολύ μικρό ποσοστό των εταιρικών λογαριασμών ηλεκτρονικού ταχυδρομείου της Microsoft, συμπεριλαμβανομένων των μελών της ανώτερης ηγετικής μας ομάδας και των υπαλλήλων της κυβερνοασφάλειας, των νομικών και άλλων λειτουργιών μας”.
Η Microsoft εξακολουθεί επίσης να μην έχει αποκαλύψει ακριβές χρονοδιάγραμμα για το πόσο καιρό οι χάκερ κατασκοπεύουν την ανώτερη ηγετική ομάδα της και άλλους υπαλλήλους της. Η αρχική επίθεση πραγματοποιήθηκε στα τέλη Νοεμβρίου 2023, αλλά η Microsoft την ανακάλυψε μόλις στις 12 Ιανουαρίου. Αυτό θα μπορούσε να σημαίνει ότι οι επιτιθέμενοι κατασκόπευαν τα στελέχη της Microsoft για σχεδόν δύο μήνες.
Η Hewlett Packard Enterprise (HPE) αποκάλυψε νωρίτερα αυτή την εβδομάδα ότι η ίδια ομάδα χάκερ είχε αποκτήσει προηγουμένως πρόσβαση στο “περιβάλλον ηλεκτρονικού ταχυδρομείου που βασίζεται στο cloud”. Η HPE δεν κατονόμασε τον πάροχο, αλλά η εταιρεία αποκάλυψε ότι το περιστατικό “πιθανότατα σχετιζόταν” με την “διαρροή ενός περιορισμένου αριθμού αρχείων [Microsoft] SharePoint ήδη από τον Μάιο του 2023”.
Η επίθεση στη Microsoft πραγματοποιήθηκε λίγες μόλις ημέρες αφότου η εταιρεία ανακοίνωσε το σχέδιό της να αναθεωρήσει την ασφάλεια του λογισμικού της μετά από σημαντικές επιθέσεις στο cloud Azure. Πρόκειται για το τελευταίο περιστατικό κυβερνοασφάλειας που πλήττει τη Microsoft, αφού το 2021 παραβιάστηκαν διακομιστές ηλεκτρονικού ταχυδρομείου 30.000 οργανισμών εξαιτίας ενός ελαττώματος του Microsoft Exchange Server, και Κινέζοι χάκερ παραβίασαν τα μηνύματα ηλεκτρονικού ταχυδρομείου της αμερικανικής κυβέρνησης μέσω ενός exploit στο cloud της Microsoft πέρυσι.
Η Microsoft βρισκόταν επίσης στο επίκεντρο της γιγαντιαίας επίθεσης κατά της SolarWinds πριν από σχεδόν τρία χρόνια, η οποία πραγματοποιήθηκε από την ίδια ομάδα Nobelium που βρίσκεται πίσω από αυτή την ενοχλητική επίθεση με email στελεχών.
Η παραδοχή της Microsoft για την έλλειψη ελέγχου ταυτότητας δύο παραγόντων σε έναν σαφώς βασικό δοκιμαστικό λογαριασμό θα εγείρει πιθανότατα τα φρύδια στην κοινότητα της κυβερνοασφάλειας. Παρόλο που δεν επρόκειτο για ευπάθεια στο λογισμικό της Microsoft, επρόκειτο για ένα σύνολο κακώς διαμορφωμένων δοκιμαστικών περιβαλλόντων που επέτρεψαν στους χάκερς να κινηθούν αθόρυβα στο εταιρικό δίκτυο της Microsoft. “Πώς ένα δοκιμαστικό περιβάλλον μη παραγωγής οδηγεί στην παραβίαση των πιο υψηλόβαθμων στελεχών της Microsoft;” αναρωτήθηκε ο διευθύνων σύμβουλος της CrowdStrike George Kurtz σε συνέντευξή του στο CNBC νωρίτερα αυτή την εβδομάδα. “Νομίζω ότι πρόκειται να αποκαλυφθούν πολλά περισσότερα σχετικά με αυτό”.
Ο Kurtz είχε δίκιο, έχουν βγει περισσότερα, αλλά εξακολουθούν να λείπουν ορισμένες βασικές λεπτομέρειες. Η Microsoft ισχυρίζεται ότι αν αυτό το ίδιο μη παραγωγικό περιβάλλον δοκιμών αναπτυσσόταν σήμερα, τότε “η υποχρεωτική πολιτική και οι ροές εργασίας της Microsoft θα εξασφάλιζαν ότι η MFA και οι ενεργές προστασίες μας είναι ενεργοποιημένες” για την καλύτερη προστασία από αυτές τις επιθέσεις. Η Microsoft έχει ακόμα πολλές εξηγήσεις να δώσει, ειδικά αν θέλει οι πελάτες της να πιστέψουν ότι βελτιώνει πραγματικά τον τρόπο με τον οποίο σχεδιάζει, κατασκευάζει, δοκιμάζει και λειτουργεί το λογισμικό και τις υπηρεσίες της για την καλύτερη προστασία από τις απειλές ασφαλείας.