Η πρώτη αναφορά της Microsoft από την Ομάδα Ανίχνευσης και Αντιμετώπισης ( Detection and Response Team ή αλλιώς DART), η οποία βοηθά τους πελάτες που αντιμετωπίζουν σοβαρά προβλήματα στον κυβερνοχώρο, περιγράφει λεπτομερώς την περίπτωση ενός μεγάλου πελάτη με έξι διαφορετικές ομάδες hacker ταυτόχρονα στο δίκτυό του, συμπεριλαμβανομένης μιας ομάδας hacker που χρηματοδοτούνταν από το κράτος που έκλεβαν data και email για 243 μέρες.
Η εταιρεία ανακοίνωσε τη DART τον Μάρτιο του 2019, στο πλαίσιο της ώθησης της επιχείρησης ώθησης κόστους 1 δισεκατομμυρίου που ανακοινώθηκε από τον CEO Satya Nadella το 2017.
Χωρίς να αποκαλύψει ονόματα πελατών, η Microsoft σκοπεύει να δημοσιεύει τακτικές ενημερώσεις σχετικά με τις δραστηριότητες της DART, για να δείξει πώς λειτουργούν οι hackers.
Η πρώτη έκθεσή αναφέρει λεπτομερώς έναν εισβολέα APT που έκλεψε τα admin credentials για να διεισδύσει στο δίκτυο του στόχου και να κλέψει ευαίσθητα δεδομένα και email.
Ειδικότερα, ο πελάτης δεν χρησιμοποιούσε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), ο οποίος θα μπορούσε να είχε αποτρέψει την παραβίαση. Η Microsoft αποκάλυψε την περασμένη εβδομάδα ότι το 99,9% των compromised λογαριασμών δεν χρησιμοποιούσε MFA και μόνο το 11% των επιχειρήσεων χρησιμοποιεί MFA.
Η DART εισήχθη αφού ο πελάτης απέτυχε να πετάξει έξω έναν επιτιθέμενο APT από το δίκτυό του μετά από 243 ημέρες, παρά το γεγονός ότι προσέλαβε έναν πωλητή απόκρισης περιστατικού επτά μήνες νωρίτερα. Ο hacker αφαιρέθηκε από το σύστημα την ημέρα που έφτασε η ομάδα της Microsoft. Ανακάλυψε επίσης ότι πέντε άλλες ομάδες απειλών ήταν μέσα στο δίκτυο.
Σε αυτή την περίπτωση, ο κύριος επιτιθέμενος χρησιμοποίησε μια επίθεση password-spraying για να “αρπάξει” τα admin credentials του Office 365 του πελάτη και από εκεί αναζητούσε mailboxes για να βρει περισσότερα credentials που μοιράζονται στους υπαλλήλους σε email. Η DART βρήκε ότι ο επιτιθέμενος αναζητούσε άδειες πνευματικής ιδιοκτησίας σε ορισμένες αγορές.
Ο εισβολέας χρησιμοποίησε ακόμη και τα εργαλεία e-discovery του πελάτη για να αυτοματοποιήσει την αναζήτηση των σχετικών email.
Σύμφωνα με τη Microsoft, η εταιρεία κατά τον πρώτο μήνα της επίθεσης προσπάθησε να χειριστεί τον ίδιο τον λογαριασμό του Office 365, και στη συνέχεια έφερε μια εταιρεία incident response για να οδηγήσει σε αυτό που αποδείχθηκε ότι ήταν μια μακρά έρευνα.
“Η έρευνα αυτή διήρκεσε πάνω από επτά μήνες και αποκάλυψε έναν πιθανό συμβιβασμό ευαίσθητων πληροφοριών που αποθηκεύτηκαν σε mailboxes του Office 365. 243 ημέρες μετά την αρχική εισβολή, η DART ανέλαβε μαζί με την εταιρεία διαχείρισης που είχε προσλάβει η εταιρεία”, λέει η Microsoft.
“Η DART εντόπισε γρήγορα στοχευμένες αναζητήσεις των mailboxes και compromised λογαριασμών, καθώς και κανάλια εντολών και ελέγχου εισβολέων. Η DART εντόπισε επίσης πέντε επιπρόσθετες εκστρατείες εισβολέων που επιμένουν ότι δεν είχαν σχέση με το αρχικό περιστατικό. ακόμη και νωρίτερα για να δημιουργήσουν κανάλια πρόσβασης (π.χ. πίσω πόρτες) για μεταγενέστερη χρήση, όπως απαιτείται.”
Η Microsoft περιγράφει πέντε βασικά βήματα που μπορούν να χρησιμοποιήσουν οι οργανισμοί για να ελαχιστοποιήσουν την έκθεσή τους σε επιτιθέμενους APT, συμπεριλαμβανομένης της ενεργοποίησης του MFA, της κατάργησης του authentication παλαιού τύπου, της κατάλληλης κατάρτισης πρώτων ανταποκριτών, της σωστής καταγραφής συμβάντων με ένα προϊόν ασφάλειας, πληροφόρησης και διαχείρισης συμβάντων και αναγνώριση ότι οι εισβολείς κάνουν χρήση νόμιμων διοικητικών εργαλείων και εργαλείων ασφαλείας για τον εντοπισμό στόχων.
Το blog προσφέρει το ίδιο μήνυμα που έδωσε στους πελάτες που έχουν πέσει θύματα σημαντικών ομάδων ransomware την περασμένη εβδομάδα: οι πελάτες πρέπει να ενεργοποιήσουν τα διαθέσιμα εργαλεία ασφαλείας και να επικεντρωθούν στην καταγραφή των συμβάντων ασφαλείας.
Η Microsoft κάλυψε το έργο των χειριστών των ransomware REvil, Samas ή SamSam, Doppelpaymer, Bitpaymer και Ryuk. Αναφέρει λεπτομερώς τον τρόπο με τον οποίο οι επιτιθέμενοι απενεργοποιούν το λογισμικό ασφαλείας και σημειώνουν ότι ορισμένοι πελάτες απενεργοποιούν ακόμη και το λογισμικό ασφαλείας για να βελτιώσουν την απόδοση, επιτρέποντας στους κυβερνοεγκληματίες να περιπλανώνται στα δίκτυα για μήνες χωρίς άδεια.
