Η Microsoft says that Ρώσοι hackers, γνωστοί ως Midnight Blizzard (Nobelium ή APT29), παραβίασαν κάποιους εταιρικούς λογαριασμούς email και έκλεψαν data. Η εταιρεία εντόπισε την επίθεση στις 12 Ιανουαρίου.
Η Microsoft λέει ότι οι επιτιθέμενοι παραβίασαν τα συστήματά της τον Νοέμβριο του 2023, στα πλαίσια μιας password spray επίθεσης (τύπος brute force), για πρόσβαση σε ένα παλαιού τύπου non-production test tenant account.
Το γεγονός ότι οι hackers μπόρεσαν να αποκτήσουν πρόσβαση στον λογαριασμό χρησιμοποιώντας επίθεση brute force δείχνει ότι δεν υπήρχε προστασία με έλεγχο ταυτότητας δύο παραγόντων (2FA) ή έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).
Σύμφωνα με την εταιρεία, μετά την πρόσβαση στο “test” account, οι Ρώσοι hackers Nobelium το χρησιμοποίησαν για να αποκτήσουν Accessed at on a "small percentage" of Microsoft corporate email accounts for more than a month.
See also: VF Corporation: ransomware attack led to data breach of 35 million people
Η Microsoft λέει ότι οι παραβιασμένοι λογαριασμοί email περιλάμβαναν μέλη της ηγετικής ομάδας της Microsoft και υπαλλήλους στα τμήματα cybersecurity και νομικών services. Μέσω της πρόσβασής τους, οι hackers κατάφεραν να κλέψουν email και συνημμένα.
“Η έρευνα δείχνει ότι αρχικά στόχευαν λογαριασμούς email για πληροφορίες που σχετίζονται με την ίδια τη Midnight Blizzard“, says the company.
Η Microsoft ανέφερε ακόμα ότι βρίσκεται στη διαδικασία ειδοποίησης των εργαζομένων των οποίων το email επηρεάστηκε.
Η εταιρεία τόνισε ότι η παραβίαση των emails έγινε μέσω brute force attack και όχι λόγω κάποιας ευπάθειας στα προϊόντα και τις υπηρεσίες της.
Ωστόσο, με βάση τις περιορισμένες πληροφορίες που κοινοποίησε η Microsoft, φαίνεται ότι μεγάλο μέρος της παραβίασης προκλήθηκε από τη μη σωστή προστασία του test account.
Russian hackers Nobelium
Η ομάδα Nobelium (γνωστή και ως Midnight Blizzard, APT29 και Cozy Bear) είναι μια ρωσική κρατική ομάδα hacking που πιστεύεται ότι είναι μέρος της Υπηρεσίας Εξωτερικών Πληροφοριών της Ρωσίας (SVR).
Οι hackers έγιναν πιο γνωστοί όταν συνδέθηκαν με την επίθεση στη SolarWinds το 2020, η οποία είχε, και τότε επηρεάσει τη Microsoft. Η Microsoft επιβεβαίωσε αργότερα ότι η επίθεση SolarWinds επέτρεψε στους hackers να κλέψουν τον source code για έναν περιορισμένο αριθμό στοιχείων Azure, Intune και Exchange.
See also: Framework Computer: suffered a data breach
Τον Ιούνιο του 2021, η ομάδα hacking παραβίασε για άλλη μια φορά έναν εταιρικό λογαριασμό της Microsoft.
Οι συγκεκριμένοι Ρώσοι hackers ασχολούνται κυρίως με την cyber espionage και την κλοπή δεδομένων, αλλά είναι επίσης γνωστοί για την ανάπτυξη custom κακόβουλου λογισμικού για τις επιθέσεις τους.
Πώς μπορεί να προστατευτεί μια εταιρεία από παρόμοιες επιθέσεις;
Για να προστατευτεί μια εταιρεία από παρόμοιες attacks, πρέπει πρώτα να ενημερώνεται συνεχώς για τις τελευταίες τεχνικές και μεθόδους που χρησιμοποιούν οι Ρώσοι hackers. Αυτό μπορεί να γίνει μέσω εξειδικευμένων εκπαιδευτικών προγραμμάτων και συνεχούς ενημέρωσης.
Επίσης, είναι σημαντικό να υπάρχει ένα ισχυρό σύστημα ασφάλειας. Αυτό περιλαμβάνει τη χρήση προηγμένων λογισμικών ασφαλείας, την εφαρμογή πολιτικών Security και την προστασία των δικτύων και των συστημάτων από επιθέσεις.
See also: Fidelity National Financial: data breach affects 1.3 million people
Η staff training είναι επίσης ζωτικής σημασίας. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους και τις τεχνικές που χρησιμοποιούν οι hackers, όπως το phishing, και πώς να τις αντιμετωπίζουν.
Ίσως το πιο σημαντικό μέτρο προστασίας που θα μπορούσε να είχε αποτρέψει και την Oversight του λογαριασμού της Microsoft, είναι ο έλεγχος ταυτότητας δύο παραγόντων, τον οποίο η εταιρεία προτείνει σε όλους τους πελάτες της.
Τέλος, η εφαρμογή της αρχής της minimum access (PoLP) μπορεί να βοηθήσει στην προστασία των ευαίσθητων πληροφοριών. Αυτό σημαίνει ότι οι users έχουν μόνο τα δικαιώματα που χρειάζονται για την εκτέλεση των καθηκόντων τους, περιορίζοντας έτσι την πρόσβαση στα δεδομένα.
Source : www.bleepingcomputer.com
, παραβίασαν κάποιους εταιρικούς λογαριασμούς email){kind=link}