„Midnight Blizzard“-Cyberangriffe aufgedeckt: Microsofts Kampf gegen staatlich geförderte Cyber-Bedrohungen
Microsoft hat kürzlich einen besorgniserregenden Verstoß offengelegt, der von einer staatlich geförderten russischen Hackergruppe namens Midnight Blizzard begangen wurde. Die Angreifer setzten ausgefeilte Taktiken ein, darunter die Erstellung bösartiger OAuth-Anwendungen, die Manipulation von Benutzerkonten und die Nutzung privater Proxy-Netzwerke, um ihre Aktivitäten zu verbergen. Dieser Verstoß unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen für Unternehmen.
Inhaltsverzeichnis
Assoziationen zwischen Midnight Blizzard und Cozy Bear kommen ans Licht
Ende November 2023 wurde Microsoft Opfer eines von Midnight Blizzard, auch bekannt als Cozy Bear, orchestrierten Cyberangriffs. Die Hacker nutzten Passwort-Spray-Angriffe, um E-Mail-Konten zu kompromittieren, wobei sie leitende Angestellte und Mitarbeiter in Cybersicherheits- und Rechtsabteilungen ins Visier nahmen. Weitere Analysen ergaben, dass die Angreifer eine veraltete OAuth-Testanwendung mit privilegiertem Zugriff auf die IT-Umgebung des Unternehmens von Microsoft ausnutzten. OAuth, ein Standard für die tokenbasierte Authentifizierung, wurde von den Hackern manipuliert und weitere bösartige OAuth-Anwendungen erstellt.
Die Taktik von Midnight Blizzard erstreckte sich auf die Erstellung eines neuen Benutzerkontos und gewährte seinen bösartigen OAuth-Apps Zugriff auf Office 365 Exchange-Postfächer. Dieser Zugriff ermöglichte es ihnen, E-Mails und Dateien herunterzuladen, um zu ermitteln, wie Microsoft über ihre Aktivitäten informiert war. Um ihren Ursprung zu verschleiern, nutzten die Angreifer private Proxy-Netzwerke und leiteten den Datenverkehr über zahlreiche IP-Adressen, die von legitimen Benutzern verwendet wurden.
So begegnen Sie Datenschutzverletzungen und Cyberangriffen
Um solchen Bedrohungen entgegenzuwirken, empfiehlt Microsoft Organisationen, Prüfungen der Benutzer- und Dienstprivilegien durchzuführen und sich dabei insbesondere auf nicht identifizierte Identitäten und Anwendungen mit hohen Privilegien zu konzentrieren. Sie empfehlen, Identitäten mit ApplicationImpersonation-Berechtigungen in Exchange Online zu überprüfen, da Fehlkonfigurationen unbefugten Zugriff auf Unternehmenspostfächer ermöglichen können. Es werden außerdem Richtlinien zur Erkennung von Anomalien und App-Kontrollen mit bedingtem Zugriff für Benutzer auf nicht verwalteten Geräten empfohlen.
Die Auswirkungen der Aktivitäten von Midnight Blizzard gehen über Microsoft hinaus, wie die Offenlegung eines ähnlichen Angriffs auf sein cloudbasiertes E-Mail-System durch Hewlett Packard Enterprise (HPE) im Mai 2023 zeigt. Dieser Vorfall, der mit einem früheren Hackerversuch in Verbindung stand, führte zu Datendiebstahl HPE-Postfächer und Zugriff auf SharePoint-Dateien.
Als Reaktion auf diese Verstöße müssen Unternehmen wachsam bleiben und robuste Sicherheitsmaßnahmen implementieren, um die Risiken zu mindern, die von staatlich geförderten Hackergruppen wie Midnight Blizzard ausgehen.