Kompromitovane kompanije Microsoft i HPE
Kompromitovane kompanije Microsoft i Hewlett Packard Enterprise (HPE), zaključuje se iz prijava ove dvije kompanije predate Komisiji za hartije od vrijednosti (eng. U.S. Securities and Exchange Commission – SEC) u kojoj se kaže da su bili meta napada sponzorisanog od strane države. Obije kompanije su napad pripisale ruskoj naprednoj trajnoj prijetnji (eng. advanced persistent threat – APT) koja se prati pod nazivom APT29 – Midnight Blizzard.
Kompromitovane kompanije Microsoft i HPE, Source: Bing Image Creator
KOMPROMITOVANJE KOMPANIJE MICROSOFT
Proizvođač popularnog operativnog sistema Windows je otkrio da je bio meta napada sponzorisanog od strane države na njene korporativne sisteme koji je rezultirao krađom elektronske pošte i priloga od viših rukovodilaca i drugih pojedinaca u odjeljenjima za sajber bezbjednost i pravna odjeljenja kompanije. Kompanija Microsoft je odmah preduzela korake kako bi zaustavila dalje djelovanje zlonamjernih aktera, uz ublažavanje zlonamjernih aktivnosti i pokretanje istrage, nakon otkrivanja upada 12. januara 2024. godine. Procjenjuje se da su zlonamjerni akteri napad započeli krajem novembra 2023. godine.
“Zlonamjerni akter je koristio napad prskanja lozinki da ugrozi zastareli neproizvodni probni tenant nalog da zadobije uporište, a zatim je iskoristio dozvole naloga da pristupi veoma malom procentu Microsoft korporativnih naloga elektronske pošte, uključujući članove našeg višeg rukovodstva i zaposlene u našoj sajber bezbjednosti, pravnim i drugim funkcijama, i eksfiltrirao neku elektronsku poštu i priložene dokumente.”
– Microsoft –
Prskanje lozinke (eng. password spray) je vrsta napada grubom silom gdje zlonamjerni akteri prikupljaju listu potencijalnih imena za prijavu i zatim pokušavaju da se prijave na sve njih koristeći određenu lozinku. Ako ta lozinka ne uspije, oni ponavljaju ovaj proces sa drugim lozinkama dok se ne potroše ili uspješno provale nalog. Činjenica da su zlonamjerni akteri uspeli da dobiju pristup nalogu korištenjem napada grubom silom ukazuje na to da on nije bio zaštićen autentifikacijom u dva koraka (eng. two-factor authentication – 2FA) ili autentifikacijom u više koraka (eng. multi-factor authentication – MFA), bezbjednosnom praksom koju Microsoft preporučuje za sve tipove naloga na internetu.
Iz kompanije Microsoft uvjeravaju da ovaj napad nije uzrokovan ranjivosti u njihovim proizvodima i uslugama, već napadom grube sile lozinkom na njihove naloge. Na osnovu ograničenih informacija koje je podijelila kompanija Microsoft, čini se da je napad bio uzrokovan loše obezbijeđenom konfiguracijom naloga koji je povaljen. Istraga je u toku, a iz kompanije su rekli da će podijeliti dodatne detalje po potrebi.
KOMPROMITOVANJE KOMPANIJE HPE
Hewlett Packard Enterprise (HPE) multinacionalna kompanija za informacione tehnologije, otkrila je značajno ugrožavanje sajber bezbjednosti koje utiče na njen sistem elektronske pošte u oblaku. Napad je primijećen 12. decembra 2023. godine, kada je kompanija HPE upozorena da je zlonamjerni akter poznat pod nazivom Midnight Blizzard izvršio neovlašten ulazak u okruženje elektronske pošte u oblaku kompanije. HPE je odmah pokrenuo istragu uz pomoć eksternih stručnjaka za sajber bezbjednost kako bi zaustavio napad.
Analiza pokazuje da su zlonamjerni akteri mogli da pristupe i ukradu podatke iz malog broja poštanskih sandučića zaposlenih u HPE, počevši od maja 2023. godine. Pogođeni poštanski sandučići pripadali su osoblju u sajber bezbjednosti, prodaji, poslovnim segmentima i drugim korporativnim funkcijama. Dok je istraga u toku, HPE sada vjeruje da je ovaj napad povezan sa ranijim sumnjivim aktivnostima otkrivenim u junu 2023. godine, kada je HPE obaviješten o neovlaštenom pristupu i krađi podataka iz ograničenog broja SharePoint dokumenata.
“Dana 12. decembra 2023, Hewlett Packard Enterprise je obaviješten da je osumnjičeni akter sponzorisan od strane države, za koji se vjeruje da predstavlja prijetnju Midnight Blizzar, odnosno akter koji sponzoriše država takođe poznat kao Cozy Bear, dobio neovlašteni pristup HPE okruženju elektronske pošte zasnovanom na oblaku. Kompanija je, uz pomoć eksternih stručnjaka za sajber bezbjednost, odmah aktivirala naš proces reagovanja da istraži, obuzda i sanira incident, iskorenivši aktivnost. Na osnovu naše istrage, sada vjerujemo da je zlonamjerni akter pristupio i eksfiltrirao podatke počevši od maja 2023. iz malog procenta HPE poštanskih sandučića koji pripadaju pojedincima u našoj sajber bezbjednosti, izlasku na tržište, poslovnim segmentima i drugim funkcijama.”
– HPE –
Predstavnik HPE je izjavio da je inicijalni ulazak u sisteme kompanije počeo preko kompromitovanog, internog HPE Office 365 naloga elektronske pošte koji je bio iskorišćen za dobijanje pristupa, ali je odbio da iznese više detalja.
APT29 – MIDNIGHT BLIZZARD
Grupa zlonamjernih aktera pod nazivom APT29 ili Midnight Blizzard (poznata još pod nazivima CozyBear, The Dukes, Group 100, CozyDuke, EuroAPT, CozyCar, Cozer, Office Monkey, YTTRIUM, Iron Hemlock, Iron Ritual, Cloaked Ursa, Nobelium, Group G0016, UNC2452, Dark Halo, NobleBarron) je napredna trajna prijetnja (APT) aktivna od 2008. godine i smatra se proizvodom Spoljne obavještajne službe Ruske federacije – SVR (rus. Служба внешней разведки Российской Федерации – СВР РФ). Veoma malo zlonamjernih aktera pokazuje pokazuje tehničku disciplinu i sofisticiranost APT29, posebno u sposobnosti da se prilagodi odbrambenim taktikama sajber bezbjednosti, prodre u dobro zaštićene mreže i primjeni zlonamjerni softver sa anti-forenzičkim mogućnostima.
APT29 prvenstveno cilja na zapadne vlade i srodne organizacije, kao što su vladina ministarstva i agencije, politički istraživački centri i vladini podizvođači. Mete su takođe uključivale vlade članica Zajednice nezavisnih država; azijske, afričke i bliskoistočne vlade; organizacije povezane sa čečenskim ekstremizmom; i govornike ruskog jezika koji se bave nezakonitom trgovinom kontrolisanim supstancama i drogama. Poznato je da APT29 grupa koristi ogroman arsenal zlonamjernog softvera, koji identifikovan kao MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke i GeminiDuke.
Posljednjih godina, APT29 grupa je učestvovala u očigledno dvogodišnjim kampanjama velikih phishing razmjera protiv stotina ili čak hiljada primalaca povezanih sa vladinim institucijama i povezanim organizacijama. Ove kampanje koriste pristup razbij i zgrabi koji uključuje brzu, ali bučnu provalu praćenu brzim prikupljanjem i eksfiltracijom što je moguće više podataka. Ako se otkrije da je kompromitovana meta vrijedna, APT29 grupa će brzo promijeniti korišćeni skup alata i prijeći na upotrebu tajnijih taktika fokusiranih na trajni kompromis i dugoročno prikupljanje obavještajnih podataka.
Tokom 2013. godine, sigurnosni istraživači kompanije Kaspersky su pronašli MiniDuke, sofisticirani dio zlonamjernog softvera koji je zauzeo 60 vladinih agencija, istraživačkih centara i drugih visokoprofilnih organizacija u 23 zemlje, uključujući SAD, Mađarsku, Ukrajinu, Belgiju i Portugal.
Nakon toga APT29 grupa dolazi ponovo u centar pažnje tokom 2016. godine, kada su sigurnosni istraživači otkrili unutar servera Demokratskog nacionalnog komiteta, tražeći obavještajne podatke poput opozicionog istraživanja Donalda Trampa, Republikanskog kandidata za predsjednika u to vreme. Grupa se ponovo pojavila u danima nakon Trampove izborne pobjede te godine sa velikim phishing napadom koji je ciljao na desetine organizacija u vladi, vojsci, odbrambenim ugovorima, medijima i drugim industrijama.
Poslije toga, tokom 2020 godine, američka vlada APT29 grupu povezuje sa napadom na lanac snabdijevanja SolarWinds koji je takođe uticao i na kompaniju Microsoft u to vrijeme, pošto je kompanija potvrdila da je napad SolarWinds dozvolio napadačima da ukradu izvorni kôd za ograničen broj komponenti Azure, Intune i Exchange. Nakon toga, kompanija Microsoft je bila meta uspješnog napada u junu 2021. godine, kada je APT29 grupa dobila pristup alatima za korisničku podršku.
Nakon neželjene pažnje koju je APT29 grupa dobila posljednjih godina, ona je u velikoj mjeri ponovo osmislila sebe. To više nije jedinstven entitet, već niz grupa, od kojih se neke vjerovatno sastoje od izvođača radova. Tokom svega toga, APT29 se specijalizovao ne toliko za iskorištavanje egzotičnih ranjivosti nultog dana, već za zloupotrebu postojećih tehnologija – posebno onih u oblaku – na nove načine za dobijanje i održavanje postojanosti unutar jako ojačanih mreža.
“Ono što s vremena na vreme vidimo su znaci da su uhvaćeni, kao što se desilo sa Microsoft-om, kao što se dogodilo sa HPE-om. Ali možete zamisliti da nisu samo ove dvije kompanije. Mora biti mnogo drugih. Možda nije tako sofisticiran [napad]. Ono što [APT29] postiže je impresivnije ne u smislu alata, već kako uspijevaju da postignu sve ove stvari.”
ZAKLJUČAK
Upad APT29 grupe u sisteme elektronske pošte dvije najmoćnije svjetske kompanije i višemjesečno nadgledanje viših rukovodilaca i drugih pojedinaca u odjeljenjima za sajber bezbjednost nisu jedine sličnosti između ova dva događaja. Oba napada su uključivala kompromitovanje jednog uređaja na svakoj korporativnoj mreži, a zatim eskalaciju tog uporišta na samu mrežu, odakle su zlonamjerni akteri mjesecima kampovali neotkriveni.
Napad na HPE je bio utoliko impresivniji, jer je objavljeno da su zlonamjerni akteri takođe dobili pristup Sharepoint serverima u maju 2023. godine. Čak i nakon što je HPE otkrio i obuzdao taj upad mjesec dana kasnije, kompaniji HPE je trebalo još šest mjeseci da otkrije kompromitovane naloge elektronske pošte.
Par otkrivanja, koji dolazi u roku od pet dana jedno od drugog, može stvoriti utisak da je nedavno došlo do naleta hakerskih aktivnosti, međutim APT29 grupa je jedna od najaktivnijih državno sponzorisanih grupa. U zadnjih šesnaest godina, ova grupa je imala konstantnu seriju napada, uglavnom na mreže vladinih organizacija i tehnoloških kompanija koje ih snabdijevaju. Na pitanje ko stoji iza ove grupe, odgovor je dalo više obavještajnih službi i privatnih istraživačkih kompanija i pripisalo je ovu grupu ogranku ruske Spoljne obavještajne službe, poznate i kao SVR.
Ovi napadi služe kao otrežnjujući podsjetnik da čak i najsofisticiranija preduzeća ostaju ranjiva na zlonamjerne aktere koji su sponzorisani od strane države. Zato je važno vođenje računa o površini napada i upravljanje njom, kao i transparentan odgovor uz posvećenost dijeljenju detalja, jer to predstavljaja model kako organizacije mogu da se nose sa bezbjednosnim incidentima i da uče iz njih. Samo saradnjom u čitavoj industriji, može se kolektivno poboljšati odbrana od sofisticiranih, upornih zlonamjernih aktera kao što je APT29 – Midnight Blizzard.
