Компания Microsoft обновила стратегии защиты после кибератаки Midnight Blizzard
Недавно компания Microsoft опубликовала комплексные рекомендации по защите организаций от продвинутых национальных кибератак. Одним из таких примеров может служить недавно раскрытая кибератака хакерской группировки Midnight Blizzard или Cozy Bear.
Группировка спонсируется Службой внешней разведки Российской Федерации. Этот инцидент лишь ещё раз доказывает, что риск кибершпионажа даже в отношении таких технологических гигантов, как Microsoft, есть и будет всегда.
С чего все начиналось
В конце ноября 2023 года хакерская организация Midnight Blizzard серьёзно атаковала внутренние системы электронной почты Microsoft. В результате этой атаки были взломаны учётные записи многих сотрудников, включая руководителей высшего звена.
Злоумышленники искусно воспользовались вредоносным открытым протоколом авторизации OAuth для сокрытия своих действий и сохранения доступа к цифровой экосистеме Microsoft. Этот инцидент является частью более широкой стратегической миссии по сбору конфиденциальной информации, которая включает в себя параллельные кибератаки на других крупных игроков индустрии, например, Hewlett Packard Enterprise (HPE).
Упреждающие меры и рекомендации Microsoft
Последующее расследование утечки данных, проведённое Microsoft, позволило обнаружить несколько значимых закономерностей. Во-первых, злоумышленники с самого начала нашли слабое место в экосистеме — устаревшую, непроизводственную тестовую учётную запись. Эта учётная запись была взломана с помощью атаки с распылением паролей, задействовавшей огромное количество реальных жилых IP-адресов. Это помогло злоумышленникам замаскировать свои действия и обойти механизмы обнаружения.
Узнайте больше о вредоносных прокси-серверах и о том, какие риски они несут.
В ответ на это в новых рекомендациях Microsoft подчёркивается важность проведения детального аудита уровней привилегий, присвоенных всем пользовательским и служебным идентификаторам в сети организации. Особое внимание рекомендуется уделять учётным записям с высоким уровнем привилегий. К ним относятся неизвестные, устаревшие или обладающие большим количеством прав доступа, чем требуется.
Повышение уровня безопасности против эксплойтов OAuth
Значительная часть рекомендаций Microsoft направлена на снижение рисков, связанных с неправильным обращением с приложениями с протоколом OAuth. Организациям рекомендуется внимательно следить за идентификаторами, получившими привилегию ApplicationImpersonation в службе Exchange Online. Без надлежащей настройки эти привилегии могут непреднамеренно предоставить злоумышленникам свободный доступ к почтовым ящикам организации.
Кроме того, Microsoft рекомендует использовать передовые решения для защиты электронной почты и внедрять политики выявления аномалий. Эти меры направлены на обнаружение вредоносных приложений с протоколом OAuth. Их цель — нейтрализовать эти приложения и тем самым усилить защиту организации.
Инструменты для обнаружения и предотвращения кибератак
Компания Microsoft определила конкретные показатели данных журнала, чтобы помочь организациям заранее выявлять признаки компрометации. Через эти метрики компании могут самостоятельно выявлять вредоносные действия, подобные тем, которые использовала группировка Midnight Blizzard.
Эксперты по кибербезопасности, среди которых руководитель исследовательской группы Astrix Security Тал Скверер, подчёркивают полезность инструментов активной защиты. Эти технологии помогают каталогизировать автоматизированные идентификаторы (NHI). Они выявляют приложения OAuth, которые либо не используются, либо имеют слишком свободный доступ. Это указывает на потенциально уязвимые места в системе безопасности.
Заключительные мысли
После кибератаки Midnight Blizzard стратегические подходы Microsoft являются свидетельством стремления компании лидировать в области кибербезопасности. Делясь подробными сведениями и превентивными стратегиями, Microsoft стремится не только обезопасить свою инфраструктуру, но и предоставить инструменты для защиты сообщества от изощренных киберугроз настоящего и будущего.