Microsoft, gigantul tehnologic din SUA, a făcut joi o declarație alarmantă: actorii ruși de amenințări cibernetice sponsorizați de stat, responsabili pentru un atac major asupra sistemelor sale la sfârșitul lunii noiembrie 2023, au avut ca ținte și alte organizații importante.
Această revelație urmează la doar o zi după ce Hewlett Packard Enterprise (HPE) a raportat că a căzut victimă unui atac similar, executat de grupul de hacking cunoscut sub diverse pseudonime, inclusiv APT29, BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard, și Ducii.
Echipa Microsoft Threat Intelligence a explicat că acest actor de amenințare vizează în mod specific guvernele, entitățile diplomatice, organizațiile neguvernamentale (ONG-uri) și furnizorii de servicii IT, în principal din Statele Unite și Europa.
Scopul acestor misiuni de spionaj este adunarea de informații sensibile de interes strategic pentru Rusia, menținându-și prezența pentru perioade lungi de timp fără a atrage atenția. Conform Microsoft, amploarea campaniei de spionaj ar putea să fi fost subestimată inițial. Deși nu s-au oferit detalii despre alte entități afectate, se subînțelege că impactul este vast și semnificativ.
Microsoft Trage un Semnal de ALARMA privind un Atac Cibernetic Derulat de Hackeri Sustinuti de Rusia
Tacticile folosite de APT29 includ utilizarea de conturi legitime, dar compromise, pentru a obține și extinde accesul într-un mediu țintă. Acestea includ și identificarea și abuzul de aplicații OAuth, folosite pentru a se deplasa lateral în infrastructuri cloud și pentru activități post-compromis, cum ar fi colectarea de e-mailuri.
Microsoft a subliniat că acești actori folosesc diverse metode de acces inițial – de la acreditări furate la exploatarea lanțurilor de aprovizionare și abuzul încrederii în furnizorii de servicii. Un aspect deosebit de îngrijorător este utilizarea conturilor de utilizator compromise pentru a crea și modifica permisiuni extinse aplicațiilor OAuth, facilitând astfel menținerea accesului la aplicații chiar și după pierderea accesului la contul compromis inițial.
Aceste aplicații OAuth malițioase sunt folosite pentru a se autentifica la Microsoft Exchange Online și pentru a viza conturile de e-mail corporative Microsoft, în scopul exfiltrării datelor. În incidentul specific care a vizat Microsoft în noiembrie 2023, atacatorii au utilizat un atac de pulverizare a parolei pentru a pătrunde într-un cont de testare neproducție, care nu avea activată autentificarea multifactorială (MFA).
Au folosit apoi acest acces pentru a compromite o aplicație OAuth de testare moștenită cu acces extins la mediul corporativ Microsoft, facilitând crearea de aplicații OAuth malițioase. Microsoft a evidențiat că utilizarea de către atacatori a proxy-urilor rezidențiale pentru a ascunde originile atacurilor complică procesul de detectare, deoarece acestea se confundă cu traficul legitim.
În concluzie, incidentul subliniază importanța măsurilor de securitate robuste pentru organizații, inclusiv apărarea împotriva aplicațiilor OAuth necinstite și a tehnicilor de pulverizare a parolelor. Prevenția și detectarea timpurie sunt esențiale pentru a contracara aceste amenințări sofisticate, iar colaborarea între entități este crucială pentru un răspuns eficient la nivel global.
