Компания Microsoft подтвердила, что в этом месяце хакерская группа Midnight Blizzard (она же Nobelium, APT29 и Cozy Bear) не только взломала ее корпоративную почту, но и атаковала другие организации, благодаря полученному доступу.
Напомним, что 12 января 2024 года Microsoft обнаружила, что атакована русскоязычной группировкой Midnight Blizzard. Тогда сообщалось, что ряд корпоративных email-аккаунтов компании взломан, а данные похищены.
Сообщалось, что хакеры провели в системе Microsoft больше месяца и скомпрометировали электронную почту руководителей компании, сотрудников юридического отдела и специалистов по кибербезопасности. Причем в некоторых из украденных писем содержалась информация о самой хак-группе, что позволяло злоумышленникам понять, что Microsoft о них знает.
В компании рассказывали, что злоумышленники проникли в систему еще в ноябре 2023 года, после того как провели успешную брутфорс-атаку типа password spray (перебор ранее скомпрометированных или часто используемых паролей) и получили доступ к тестовой учетной записи старого непроизводственного тенанта.
Тот факт, что хакеры смогли получить доступ к учетной записи с помощью брутфорса, указывал, что аккаунт не был защищен двухфакторной или многофакторной аутентификацией, которую Microsoft настоятельно рекомендует использовать для всех типов учетных записей.
Также после сообщения Microsoft у специалистов возникло немало вопросов о том, каким образом хакерам удалось перейти к другим аккаунтам. Ведь непроизводственный тестовый аккаунт вряд ли имел права для доступа к другим учетным записям.
В конце прошлой недели Microsoft опубликовала более детальный отчет об этой атаке. Выяснилось, что в ходе атаки хакеры использовали резидентные прокси и технику password spray, сконцентрировавшись на небольшом количестве учетных записей. Причем один из атакованных аккаунтов, как и сообщалось ранее, был «устаревшей, непроизводственной учетной записью тестового тенанта».
«В этой атаке Midnight Blizzard подстроили свою атаку типа password spray под ограниченное число учетных записей, и использовали минимальное количество попыток, чтобы избежать обнаружения и блокировки учетных записей из-за большого количества неудач», — сообщает Microsoft.
Кроме того, Microsoft подтвердила, что многофакторная аутентификация для этого аккаунта действительно была отключена, что позволило атакующим получить доступ к системам Microsoft (после того, как они подобрали правильный пароль).
Также в компании объяснили, что тестовая учетная запись по ошибке имела доступ к приложению OAuth с привилегированным доступом к корпоративной среде Microsoft. Именно этот расширенный доступ позволил хакерами создать дополнительные OAuth-приложения для получения доступа к другим корпоративным почтовым ящикам.
«Midnight Blizzard использовала полученный доступ, чтобы найти и скомпрометировать устаревшее тестовое OAuth-приложение, которое имело привилегированный доступ к корпоративной среде Microsoft. Так атакующие создали дополнительные вредоносные OAuth-приложения.
Также они создали новую учетную запись пользователя, чтобы получить согласие в корпоративной среде Microsoft для подконтрольных им вредоносных OAuth-приложений. Затем злоумышленники использовали устаревшее тестовое OAuth-приложение для предоставления себе роли Office 365 Exchange Online full_access_as_app, которая позволяла получить доступ к почтовым ящикам», — пишет Microsoft.
Как отмечает известный ИБ-специалист Кевин Бомонт (Kevin Beaumont) в своем блоге, единственный способ, который позволяет назначить всемогущую роль full_access_as_app приложению OAuth, это учетная запись с привилегиями администратора. «Кто-то допустил серьезную ошибку при конфигурации», — пишет Бомонт.
Также стоит отметить, что расследование этого инцидента показало, что Midnight Blizzard «атаковала и другие организации», и Microsoft заявляет, что уже начала уведомлять пострадавшие организации о случившемся.
Напомним, что на прошлой неделе компания Hewlett Packard Enterprise (HPE) сообщила, что группировка Midnight Blizzard получила несанкционированный доступ к ее почтовой среде Microsoft Office 365 и успешно похищала оттуда данные, сохраняя доступ с мая 2023 года.
Тогда сообщалось, что HPE получила предупреждение об атаке извне, однако компания не раскрывала, от кого оно было получено. Теперь становится ясно, что предупреждение исходило от представителей Microsoft.
