Z artykułu dowiesz się:
Jak doszło do cyberataku na Microsoft Kto stoi za atakiem na amerykańskiego giganta technologicznego Na czym polega atak typu Password Spraying Kim jest grupa Midnight Blizzard Czy klienci Microsoft mogą czuć się zagrożeniWłamanie do systemów firmowych Microsoft
Microsoft nie mógł w tej sprawie milczeć. Zgodnie z nowym wymogiem regulacyjnym wdrożonym przez amerykańską Komisję Papierów Wartościowych i Giełd (SEC) spółki publiczne mają obowiązek informować o incydentach cybernetycznych natychmiast po ich wykryciu. Za włamaniem do systemów firmowych amerykańskiego przedsiębiorstwa stoi rosyjska grupa hakerów Midnight Blizzard, znana również jako APT29, Cozy Bear i Nobelium. Poza tym w całą sprawę miały być zaangażowane rosyjskie władze finansujące cyberprzestępców. Sprawa wydaje się być poważna.
Co właściwie się stało? Rosyjscy hakerzy zdobyli dostęp do firmowych kont e-mailowych niektórych pracowników Microsoft. Chodzi przede wszystkim o członków zespołu kierowniczego wyższego szczebla oraz pracowników odpowiedzialnych za cyberbezpieczeństwo i prawo. Spółka wszczęła więc dochodzenie w tej sprawie, aby poznać zarówno skalę strat, jak też motywy przestępców. Okazało się, że ataki miały swój początek już w listopadzie ubiegłego roku. Początkowo chodziło o pozyskanie przez nich informacji dotyczących wiedzy Microsoftu z zakresu operacji, jakie przeprowadzają. Mieli w ten sposób wybadać grunt, dzięki czemu mieliby pewność, jakie informacje na ich temat są w niesprzyjających im rękach.
Microsoft zareagował natychmiast. Zablokował grupie dostęp do swoich systemów. Poza tym poinformował, że atak nie był następstwem żadnej luki i niedoskonałości w ich produktach i usługach. Społeczeństwo jednak ma swoje teorie na ten temat i zapewne znajdą się tacy, którzy wyraźnie ograniczą swoje zaufanie do firmy.
Ostatecznie okazało się, że cyberprzestępcy uzyskali dostęp do korporacyjnych maili z ostatniego miesiąca. Microsoft twierdzi jednak, że w ich ręce nie trafiły żadne znaczące i poufne informacje. Nie ma jednak pewności, że nie weszli w posiadanie danych firmowych, które nie powinny nigdy ujrzeć światła dziennego, a już na pewno trafić na rosyjski teren. Spółka jednak uspokaja. Pojawia się tylko pytanie, czy robi to z pełnym przekonaniem czy w ten sposób próbuje zamaskować problem i zamieść go pod dywan.
Microsoft ofiarą ataku Password Spraying
Grupa Midnight Blizzard podczas cyberataku wykorzystała metodę Password Spraying. Jej celem jest pozyskanie dostępu do dużej liczby kont, używając przy tym zaledwie kilku powszechnie znanych haseł. Haker próbuje używać jednego takiego samego hasła do wielu kont, potem drugiego, kolejnego i tak dalej. To zwiększa szanse przestępcy, że nie zostanie szybko zdemaskowany, jak jest to w przypadku tradycyjnych ataków typu brute-force. One z kolei pozwalają uzyskać dostęp tylko do jednego konta, wystarczy „tylko” odgadnąć hasło. Jest jednak duże ryzyko szybkiego zablokowania konta, ponieważ w większości przypadków mamy ograniczoną liczbę nieudanych prób logowania w określonym czasie. Jeśli więc hasło nie zostanie prawidłowo wpisane np. trzy czy pięć razy, kolejne próby nie będą możliwe.
Czy więc można zapobiec atakom typu Password Spraying? Można, a nawet powinno się to robić i muszą o tym pamiętać małe i duże firmy. Tym razem coś jednak zawiodło. Gigant technologiczny nie wykazał się wystarczającą ostrożnością. Aby uniknąć ataków Password Spraying, należy użyć rozwiązań uwierzytelniania. Aby dostać się do konta, trzeba potwierdzić swoją tożsamość nie tylko za pomocą hasła. Pierwszym krokiem może być np. wygenerowanie kodu z drugim zapytaniem, a dopiero po udzieleniu poprawnej odpowiedzi, użytkownik zostaje poproszony o wpisanie hasła.
Zatem czy można uznać, że Microsoft zawinił? Częściowo tak, ponieważ nie zastosował odpowiedniego zabezpieczenia do kont mailowych swoich pracowników. Powinien więc lepiej zadbać o ograniczenie dostępu do danych i informacji.
To nie pierwszy atak grupy Midnight Blizzard
Grupa Midnight Blizzard jest dobrze znana władzom na całym świecie. To rosyjscy hakerzy, którzy atakują różne instytucje z wykorzystaniem podatności w JetBrains TeamCity. Przestępcy mają dość charakterystyczne metody działania. Wielokrotnie najpierw podszywają się pod polityków i dyplomatów. Wysyłają wiadomości do konkretnych organizacji z plikiem do pobrania. Odbiorca musi w niego kliknąć, co rozpoczyna cały proces włamania.
Midnight Blizzard ma bardzo szeroki zakres działania. Nie ogranicza się tylko ro krajów europejskich, atakuje też w Stanach Zjednoczonych, Azji i Afryce. Rosyjska grupa była powiązana z malware MiniDuke wykrytym przez Kaspersky’ego. Jeśli chodzi o jej najbardziej spektakularny atak, to na pewno był to incydent związany z Białym Domem i partią Demokratów w USA w roku 2014. Przypisuje się jej ponadto atak spear-phishingowy na Pentagon w 2015 roku i atak na instytucje federalne USA z roku 2020.
Co ciekawe informacja o cyberataku na Microsoft zbiegła się z nieco innym doniesieniem. Firma Hewlett Packard Enterprise (HPE) również poinformowała, że grupa hakerów Midnight Blizzard weszła w posiadanie dostępu do skrzynek mailowych niektórych pracowników firmy. Sprawa jest więc bardzo podobna. Szczegóły ataku pozostają wciąż nieznane. Wiadomo jednak, że HPE wiąże ten incydent z wcześniejszą aktywnością tej samej grupy, która miała miejsce w czerwcu ubiegłego roku.
Czy dane klientów Microsoft są zagrożone?
W obliczu cyberataków na jakiekolwiek organizacje to zawsze najbardziej interesuje ich klientów i użytkowników. No właśnie, oni firmom udzielają dużego kredytu zaufania, udostępniając im dane osobowe z nadzieją, że nie zostaną wykorzystane przez inne firmy, chyba że w umowie jest inaczej. Każdy atak hakerski to zagrożenie dla tych danych. W wielu przypadkach to właśnie dane osobowe jak największej liczby ludzi są celem przestępców. Czy tak też było tym razem?
Microsoft podkreśla, że nie chodziło o dane klientów, a o ewentualne informacje, które posiada firma na temat działań grupy Midnight Blizzard. Poza tym na blogu Microsoft pojawiła się następująca informacja:
Do tej pory nie ma dowodów na to, że sprawca zagrożenia miał jakikolwiek dostęp do środowisk klientów, systemów produkcyjnych, kodu źródłowego lub systemów sztucznej inteligencji.To trochę dwuznaczne stwierdzenie. Jednocześnie firma poinformowała, że brak jest dowodów na to, że przestępcy uzyskali dostęp do danych klientów, ale też nie zapewniła, że są dowody na to, że tak się nie stało. W ten sposób sama się zabezpieczyła na wypadek, gdyby w toku śledztwa okazało się, że jest inaczej.
Cyberprzestępcy na każdym kroku udowadniają, że są krok przed swoimi ofiarami. Mierzą wysoko i za cel nie wybierają sobie przypadkowych organizacji. Tym razem padło na Microsoft, czyli jednego z największych gigantów technologicznych. Coś zawiodło i trzeba nad tym popracować.