Новости Microsoft заявила о взломе почтовых ящиков руководства российскими хакерами

Ralhf

Модератор
Команда форума
Модератор
Private Club
Регистрация
8/3/17
Сообщения
6.535
Репутация
7.054
Реакции
19.821
RUB
1.048
Депозит
42 рублей
Сделок через гаранта
1
В Microsoft сообщили об атаке хакеров из группировки Midnight Blizzard (также известна как Nobelium), которую компания связывает с Россией. Злоумышленники получили доступ к «очень маленькому проценту» корпоративных ящиков электронной почты, в том числе принадлежащих руководству компании. Целью хакеров была информация, связанная с деятельностью самой Midnight Blizzard

Корпоративные системы Microsoft подверглись атаке со стороны хакерской группировки Midnight Blizzard (также известна как Nobelium), которую компания обвиняет в связях с Россией. Об этом в блоге Microsoft.

Хакеры начали атаки еще в прошлом ноябре, но в компании об этом узнали лишь 12 января. В результате атак злоумышленники получили доступ к «очень маленькому проценту» корпоративных ящиков электронной почты, в том числе принадлежащих руководству компании, а также сотрудникам службы кибербезопасности и юристам. Киберпреступники похитили некоторые электронные письма и прикрепленные к ним документы. Как выявило расследование, целью хакеров была информация, связанная с деятельностью самой Midnight Blizzard, отметили в Microsoft.

«Причиной атака не была уязвимость в продуктах или услугах Microsoft. На сегодняшний день нет никаких доказательств того, что злоумышленники имели какой-либо доступ к клиентской среде, производственным системам, исходному коду или системам искусственного интеллекта», — отметили в компании.

В Microsoft уже об атаках со стороны Midnight Blizzard в прошлом августе. В компании тогда заявили, что группировка связана со Службой внешней разведки России (СВР) и занимается «целенаправленным шпионажем» с 2018 года.

Федеральное бюро расследований, Агентство по кибербезопасности и безопасности инфраструктуры, Агентство национальной безопасности США, Служба военной контрразведки и Центр экстренного реагирования на инциденты информационной безопасности Польши, а также Национальный центр кибербезопасности Великобритании в прошлом декабре , что хакерская группировка АРТ 29 (также известна как Cozy Bear) с сентября 2023 года в «больших масштабах» использует CVE-2023-42793 — уязвимость ПО компании JetBrains TeamCity. Об этом говорилось в сообщении Агентства по кибербезопасности и безопасности инфраструктуры США (CISA). Эта организация и ее партнеры считают, что АРТ 29 действует в интересах Службы внешней разведки (СВР) России. Целью хакеров являются серверы, на которых установлено ПО TeamCity — программа используется при разработке софта. Получив доступ к TeamCity, злоумышленники способны нарушить процесс разработки ПО, а в дальнейшем атаковать и цепочки поставок.

Эту же уязвимость, по Microsoft, с октября 2023 года использовали группы Diamond Sleet и Onyx Sleet, связанные с Северной Кореей. В Microsoft уверены, что эти группы провели успешные атаки на цепочки поставок ПО, проникнув в среды сборки.

 
Microsoft рассказала, как хакеры взломали ее корпоративную почту.


Компания Microsoft подтвердила, что этом месяце хакерская группа Midnight Blizzard (она же Nobelium, APT29 и Cozy Bear) не только взломала ее корпоративную почту, но и атаковала другие организации, благодаря полученному доступу.

Напомним, что 12 января 2024 года Microsoft , что атакована русскоязычной группировкой Midnight Blizzard. Тогда сообщалось, что ряд корпоративных email-аккаунтов компании взломан, а данные похищены.

sPEg2K-lsneyEZhauGIBeA.jpeg


Сообщалось, что хакеры провели в системе Microsoft больше месяца и скомпрометировали электронную почту руководителей компании, сотрудников юридического отдела и специалистов по кибербезопасности. Причем в некоторых из украденных письмах содержалась информация о самой хак-группе, что позволяло злоумышленникам понять, что Microsoft о них знает.

В компании рассказывали, что злоумышленники проникли в систему еще в ноябре 2023 года, после того как провели успешную брутфорс-атаку типа password spray (перебор ранее скомпрометированных или часто используемых паролей) и получили доступ к тестовой учетной записи старого непроизводственного тенанта.

Тот факт, что хакеры смогли получить доступ к учетной записи с помощью брутфорса, указывал, что аккаунт не был защищен двухфакторной или многофакторной аутентификацией, которую Microsoft настоятельно рекомендует использовать для всех типов учетных записей.

Также после сообщения Microsoft у специалистов возникло немало вопросов о том, каким образом хакерам удалось перейти к другим аккаунтам. Ведь непроизводственный тестовый аккаунт вряд ли имел права для доступа к другим учетным записям.

В конце прошлой недели Microsoft опубликовала более об этой атаке. Выяснилось, что в ходе атаки хакеры использовали резидентные прокси и технику password spray, сконцентрировавшись на небольшом количестве учетных записей. Причем один из атакованных аккаунтов, как и сообщалось ранее, был «устаревшей, непроизводственной учетной записью тестового тенанта».

«В этой атаке Midnight Blizzard подстроили свою атаку типа password spray под ограниченное число учетных записей, и использовали минимальное количество попыток, чтобы избежать обнаружения и блокировки учетных записей из-за большого количества неудач», — сообщает Microsoft.

Кроме того, Microsoft подтвердила, что многофакторная аутентификация для этого аккаунта действительно была отключена, что позволило атакующим получить доступ к системам Microsoft (после того, как они подобрали правильный пароль).

Также в компании объяснили, что тестовая учетная запись по ошибке имела доступ к приложению OAuth с привилегированным доступом к корпоративной среде Microsoft. Именно этот расширенный доступ позволил хакерами создать дополнительные OAuth-приложения для получения доступа к другим корпоративным почтовым ящикам.

«Midnight Blizzard использовала полученный доступ, чтобы найти и скомпрометировать устаревшее тестовое OAuth-приложение, которое имело привилегированный доступ к корпоративной среде Microsoft. Так атакующие создали дополнительные вредоносные OAuth-приложения.

Также они создали новую учетную запись пользователя, чтобы получить согласие в корпоративной среде Microsoft для подконтрольных им вредоносных OAuth-приложений. Затем злоумышленники использовали устаревшее тестовое OAuth-приложение для предоставления себе роли Office 365 Exchange Online full_access_as_app, которая позволяла получить доступ к почтовым ящикам», — пишет Microsoft.

Как отмечает известный ИБ-специалист Кевин Бомонт (Kevin Beaumont) в , единственный способ, который позволяет назначить всемогущую роль full_access_as_app приложению OAuth, это учетная запись с привилегиями администратора. «Кто-то допустил серьезную ошибку при конфигурации», — пишет Бомонт.

Также стоит отметить, что расследование этого инцидента показало, что Midnight Blizzard «атаковала и другие организации», и Microsoft заявляет, что уже начала уведомлять пострадавшие организации о случившемся.

Напомним, что на прошлой неделе компания Hewlett Packard Enterprise (HPE) , что группировка Midnight Blizzard получила несанкционированный доступ к ее почтовой среде Microsoft Office 365 и успешно похищала оттуда данные, сохраняя доступ с мая 2023 года.

Тогда сообщалось, что HPE получила предупреждение об атаке извне, однако компания не раскрывала, от кого оно было получено. Теперь становится ясно, что предупреждение исходило от представителей Microsoft.


 
Сверху Снизу