Microsoft opet kompromitovan

Kompanija Microsoft je objavila da ima dokaze da zlonamjerna APT grupa Midnight Blizzard (poznata i pod nazivom APT29, Nobelium ili Cozy Bear), koristi informacije koje su prvobitno eksfiltrirne iz korporativnih sistema elektronske pošte tokom napada u januaru, da bi stekla ili pokušala da dobije neovlašteni pristup.

Microsoft opet kompromitovan; Source: Bing Image Creator

MICROSOFT: NOVI NAPAD

U najnovijem obavještenju kompanije Microsoft, stoji da postoje dokazi da je zlonamjerna grupa Midnight Blizzard koristila informacije iz prethodnog napada na ovu kompaniju kako bi proširila svoj pristup u mreži kompanije i ugrozila izvorni kôd i interne sisteme. Dostupne informacije pokazuju da se eksfiltrirani podaci koje je ova grupa dobila u prethodnom napadu ne koriste samo protiv kompanije Microsoft, već protiv klijenta ove kompanije.

“Posljednjih nedjelja, vidjeli smo dokaze da Midnight Blizzard koristi informacije koje su prvobitno eksfiltrirane iz naših korporativnih sistema elektronske pošte da bi stekao ili pokušao da dobije neovlašteni pristup. Ovo je uključivalo pristup nekim od skladišta izvornog kôda kompanije i internim sistemima. Do danas nismo pronašli nikakve dokaze da su sistemi za klijente koje je hostovao Microsoft kompromitovani.”

 – Microsoft –

Dobijanje izvornog kôda je velika pobjeda za zlonamjerne aktere, jer im omogućava da otkriju kako softverski program funkcioniše, što im omogućava da ispitaju njegove slabosti. To znanje se može koristiti za pokretanje naknadnih napada na neočekivane načine. Kompanija Microsoft kaže da je zlonamjerna grupa Midnight Blizzard uveliko povećala neke aspekte operacije, kao što su “prskanje lozinke” (eng. password spray) ili korištenje otkrivenih lozinki na više naloga da bi pokušali da dobiju pristup.

Sumnja se da zlonamjerni akteri koriste informacije koje imaju ako bi sebi stvorili sliku područja za napad i poboljšali svoju sposobnost da to izvrše. Uz sve ovo dolazi i upozorenje da napad karakteriše održiva i značajna prosvijećenost resursima, koordinaciji i fokusiranost ove zlonamjerne grupe.

MICROSOFT TAJNE ELEKTRONSKE POŠTE

Kompanija Microsoft upozorava da grupa Midnight Blizzard, sada pokušava da koristi “tajne različitih tipova koje je pronašla” pokušavajući dodatno da proširi svoj pristup u mreži kompanije i potencijalno njenih kupaca. Neke od ovih tajni su dijeljen između kompanije i klijenata putem elektronske pošte, pa zbog toga kompanija pokušava da otkrije takvu komunikaciju kako bi upozorila svoje klijente i kako bi im pomogla u preduzimanju mjera za ublažavanje. Iako nije rečeno o kojim tajnama se radi, to su vjerovatno tokeni za autentifikaciju, API ključevi ili akreditivi.

Kompanija Microsoft je saopštila da je istraga o napadu još uvijek u toku i da će nastaviti da daje novosti o tome šta je otkriveno. U međuvremenu kompanija pojačava svoje sposobnosti da se odbrani i ojača svoje okruženje od ove napredne prijetnje. Kompanija još nije utvrdila da li će ovaj incident imati materijalnog uticaja na finansije kompanije.

ZAKLJUČAK

Ovaj najnoviji napad na Microsoft pomno prati njegovo obećanje da će ojačati sigurnost softvera nakon ozbiljnih napada u Azure oblaku. Microsoft je bio umješan u niz visokoprofilnih bezbjednosnih incidenata, uključujući kompromitovanje servera elektronske pošte 30.000 organizacija zbog greške u Microsoft Exchange serveru prošle godine, kao i napad kineskih hakera koji su provalili elektronsku poštu američke vlade preko Microsoft ranjivosti u oblaku.

Pojedini sigurnosni istraživači izražavaju uznemirenost, jer smatraju da je kompanija Microsoft previše tajnovita u vezi sa svojim ranjivostima i načinom na koji se nosi sa napadima. Smatraju da ovi napadi nisu izolovani jedni od drugih, a da sumnjive Microsoft bezbjednosne prakse i obmanjujuće izjave namjerno zamagljuju cijelu istinu.

S druge strane, kao odgovor na ovaj alarmantan napad, kompanija Microsoft tvrdi da je pojačala svoje bezbjednosne mjere i investicije, naglašavajući poboljšanu koordinaciju i budnost u cijelom preduzeću. Međutim, sigurnosni istraživači se slažu da ovo nije u okvirima tradicionalnog odgovora na sajber prijetnju pretjerivanjem napadača i zatvaranjem vrata na koja je napadač ušao. Krađa izvornog kôda i tajnih podataka zahtijevaju stalno praćenje, sanaciju i reagovanje mjesecima nakon što je napad zaustavljen.