Microsoftove korporativne sisteme kompromitovao je krajem novembra isti haker koji stoji iza sajber napada lanca nabavke softvera SolarWinds Orion 2020, poznatog Microsoft istraživačima prijetnji kao Midnight Blizzard (aka APT29, Cozy Bear ili Nobelium).
Proboj nije otkriven do 12. januara, saopštila je kompanija.
Preliminarna analiza Microsoftovog centra za istraživanje sigurnosti (MSRC) pokazala je da je haker nacionalne države s naprednom perzistentnom prijetnjom (APT) koristio jednostavan password-spray napad za pristup testnom nalogu, što je dovelo do kompromisa “vrlo malog procenta Microsoftovih korporativnih naloga e-pošte“, navodi se u postu na blogu kompanije od 19. januara. Probijeni nalozi e-pošte uključivali su one koji pripadaju višem rukovodstvu, kao i članove sajbersigurnosnih i pravnih timova, između ostalih, navodi Microsoft. Navodno je napadač Nobelium tražio informacije koje je Microsoft imao o njihovom radu.
U svom saopštenju, Microsoft je obećao reviziju sajbersigurnosti svojih naslijeđenih sistema, bez obzira na uticaj na operacije.
“Odmah ćemo djelovati kako bismo svoje trenutne sigurnosne standarde primijenili na naslijeđene sisteme i interne poslovne procese u vlasništvu Microsofta, čak i kada ove promjene mogu uzrokovati poremećaj u postojećim poslovnim procesima”, najavio je Microsoft. “Ovo će vjerovatno uzrokovati određeni nivo poremećaja dok se prilagođavamo ovoj novoj stvarnosti, ali ovo je neophodan korak, a samo prvi od nekoliko koje ćemo preduzeti da prihvatimo ovu filozofiju.”
Lekcije Microsoft-a iz državnih sajber napada
Uspješan sajber napad na Microsoft trebao bi podsjetiti timove za sajber sigurnost da ne zanemaruju osjetljive informacije koje sadrže manje kritični sistemi poput e-pošte i razmjene datoteka, navodi se u izjavi Omrija Weinberga, suosnivača DoControla.
„Mnoge od ovih vrsta servisa se koriste putem modela softvera kao usluge (SaaS), što može učiniti sigurnost i praćenje izazovnijim za organizacije“, rekao je Weinberg.
Prema Arie Zilbersteinu, suosnivaču i izvršnom direktoru Gem Security-a, činjenica da je ruski državni haker bio u stanju da održi postojanost u Microsoft-ovim sistemima tako dugo pokazuje nedostatak pažnje na evidentiranje u oblaku.
“Iznenađujuće, protivnik je uspio ostati postojan u infrastrukturi oblaka više od dva mjeseca prije nego što je otkriven”, rekao je Zilberstein u izjavi. “Preporučujemo da organizacije implementiraju kontinuisano praćenje svojih dnevnika u oblaku kako bi mogle uočiti anomalne aktivnosti prije nego što napadači mogu pristupiti i eksfiltrirati osjetljive podatke.”
Nobelium APT već je maltretirao Microsoft i njegove servise. Prošlog ljeta, grupa je pokrenula Teams phishing napade na vladine i industrijske organizacije koristeći kompromitovane Microsoft 365 zakupce.
Izvor: Darkreading
