مایکروسافت جزئیات هک Midnight Blizzard را افشا کرد

مایکروسافت تأیید کرد گروه هکری Midnight Blizzard که نوامبر ۲۰۲۳ به حساب‌های ایمیل مدیران اجرایی این شرکت نفوذ کرده بود، به سازمان‌های دیگری نیز نفوذ کرده است.

به‌گزارش تک‌ناک، گروه هکری Midnight Blizzard که با نام‌های Nobelium و APT29 نیز شناخته می‌شود، تحت‌حمایت دولت روسیه قرار دارد و به سرویس اطلاعات خارجی روسیه (SVR) وابسته است. این گروه عمدتاً به هدف قرار‌دادن سازمان‌های دولتی و غیردولتی و توسعه‌دهندگان نرم‌افزار و شرکت‌های ارائه‌کننده خدمات فناوری اطلاعات در ایالات متحده و اروپا شهرت دارد.

۱۲ ژانویه ۲۰۲۴، مایکروسافت اعلام کرد که هکرهای روسی در نوامبر ۲۰۲۳ به سیستم‌های این شرکت نفوذ کرده‌اند و ایمیل‌هایی را از تیم‌های رهبری و امنیت سایبری و حقوقی این شرکت را دزدیده‌اند. برخی از این ایمیل‌ها حاوی اطلاعاتی درباره خودِ گروه هکری بوده‌اند که به عوامل تهدید امکان داده است تا از دانش مایکروسافت درباره فعالیت‌هایشان آگاه شوند.

مایکروسافت توضیح داده است که عوامل تهدید برای هدف قرار‌دادن تعداد محدودی از حساب‌ها، از پروکسی‌های مسکونی و تکنیک‌های «پاشش رمز‌عبور» استفاده کرده‌اند. یکی از این حساب‌ها «حساب آزمایشی غیرتولیدی قدیمی» بوده است. مایکروسافت افزوده است که در فعالیت‌های اخیر گروه هکری Midnight Blizzard، عامل تهدید تلاش‌های خود برای حملات پاشش رمز‌عبور را به چندین حساب محدود کرده است. این رویکرد با استفاده از تعداد محدودی تلاش برای جلوگیری از شناسایی و مسدود‌شدن حساب‌ها بر‌اساس تعداد شکست‌ها انجام شده است.

وقتی مایکروسافت این تخلف امنیتی را برای اولین‌بار افشا کرد، سؤالاتی درباره وضعیت فعال بودن یا نبودن تأیید هویت چند‌عاملی (MFA) برای حساب آزمایشی و اینکه چگونه حساب آزمایشی قدیمی ممکن است امتیازاتی داشته باشد که به انتشار جانبی به سایر حساب‌ها در سازمان کمک کند، مطرح شد. مایکروسافت اکنون تأیید کرده است که MFA برای این حساب فعال نبوده است. این امر به عوامل تهدید امکان داده است تا پس از دسترسی به رمز‌عبور صحیح، به سیستم‌های مایکروسافت وارد شوند.

مایکروسافت گفته است که این حساب آزمایشی به برنامه OAuth با دسترسی بالا به محیط شرکتی مایکروسافت دسترسی داشته است. این دسترسی بالا به عوامل تهدید اجازه داده است تا برنامه‌های OAuth بیشتری برای دسترسی به سایر صندوق‌های پستی شرکتی ایجاد کنند. Midnight Blizzard از این دسترسی اولیه برای شناسایی و به‌خطر‌انداختن برنامه OAuth آزمایشی قدیمی با دسترسی بالا به محیط شرکتی مایکروسافت استفاده و عامل تهدید برنامه‌های OAuth مخرب بیشتری ایجاد کرده است.

گروه Midnight Blizzard در اقدامات خود علیه مایکروسافت، حساب کاربری جدیدی ایجاد کرده‌اند تا ازطریق آن رضایت‌نامه‌های مورد‌نیاز برای برنامه‌های OAuth مخرب تحت‌کنترل خود را در محیط شرکتی مایکروسافت اعطا کنند. عامل تهدید سپس از برنامه OAuth آزمایشی قدیمی استفاده کرده است تا نقش full_access_as_app Office 365 Exchange Online را به این حساب‌ها بدهد که اجازه دسترسی به صندوق‌های پستی شرکتی را به آن‌ها می‌دهد.

مایکروسافت توانست این فعالیت‌های مخرب را ازطریق بررسی ردپاها در log‌های Exchange Web Services (EWS) و با استفاده از تاکتیک‌ها و رویه‌های شناخته‌شده‌ای شناسایی کند که گروه‌های هکری تحت‌حمایت دولت روسیه به‌کار می‌بردند. بر‌اساس این یافته‌ها، مایکروسافت توانست حملات مشابهی را تشخیص دهد که Midnight Blizzard انجام و سازمان‌های دیگر را هدف‌ قرار داده‌اند.

مایکروسافت در به‌روزرسانی جدیدش هشدار می‌دهد که با استفاده از اطلاعات به‌دست‌آمده از فعالیت‌های Midnight Blizzard، بخش تهدیدات این شرکت شناسایی کرده است که همین عامل تهدید سایر سازمان‌ها را نیز هدف قرار داده است. به‌عنوان بخشی از فرایندهای معمول اطلاع‌رسانی، مایکروسافت اطلاع‌رسانی به این سازمان‌های هدف‌گذاری‌شده را آغاز کرده‌ است. این اقدامات نشان‌دهنده تلاش‌های مایکروسافت برای مقابله با تهدیدات سایبری و حفاظت از مشتریان و سازمان‌های همکار خود است.

مقابله با Midnight Blizzard

ردموندی‌ها در آخرین پست خود راه‌های گسترده‌ای را برای شناسایی و ردیابی و مسدود کردن فعالیت‌های مخرب گروه هکری APT29 ارائه کرده‌اند. این شرکت بزرگ فناوری توصیه می‌کند که توجه ویژه‌ای به هشدارهای مربوط به هویت و XDR (Extended Detection and Response) و SIEM (Security Information and Event Management) شود. سناریوهای خاصی که به‌طور مشکوکی با فعالیت‌های گروه Midnight Blizzard مرتبط هستند، عبارت‌اند از:

1. فعالیت زیاد در برنامه‌های ابری دسترسی به ایمیل که می‌تواند نشان‌دهنده بازیابی احتمالی داده‌ها باشد.
2. افزایش ناگهانی تماس‌های API پس از به‌روزرسانی اطلاعات ورود به سیستم در برنامه‌های OAuth غیرمایکروسافتی که نشان‌دهنده دسترسی غیرمجاز است.
3. افزایش استفاده از API خدمات وب Exchange در برنامه‌های OAuth غیرمایکروسافتی که احتمالاً نشان‌دهنده نشت داده‌ها است.
4. برنامه‌های OAuth غیرمایکروسافتی با ابرداده‌های پرخطر شناخته‌شده که احتمالاً در نقض داده‌ها دخیل هستند.
5. برنامه‌های OAuth ایجاد‌شده کاربران از جلسات پرخطر که نشان‌دهنده سوءاستفاده از حساب‌های به‌خطر افتاده است.

در پایان، مایکروسافت توصیه می‌کند که برای شناسایی و بررسی فعالیت‌های مشکوک، از پرس‌و‌جوهای جست‌وجوی هدفمند در Microsoft Defender XDR و Microsoft Sentinel استفاده شود. این رویکردها به سازمان‌ها کمک می‌کند تا در‌برابر تهدیدات سایبری مؤثرتر محافظت شوند و واکنش نشان دهند.