Microsoft заявляет, что спонсируемые государством злоумышленники получили доступ к электронной почте высокопоставленных руководителей

19 января Microsoft сообщила, что в ноябре 2023 года произошла атака, поддерживаемая государством, в ходе которой спонсируемая государством российская группа злоумышленников Midnight Blizzard получила доступ к некоторым корпоративным электронным письмам и документам Microsoft через скомпрометированные учетные записи электронной почты.

Злоумышленники получили доступ в ноябре 2023 года, используя устаревшую тестовую учетную запись арендатора. Оттуда они могли использовать разрешения этой учетной записи для доступа к небольшому количеству учетных записей корпоративной электронной почты Microsoft — некоторые из этих учетных записей предназначались для членов старшего руководства. Другие лица, к чьим учетным записям электронной почты был получен доступ, помимо других функций, работают в отделах кибербезопасности и юридических вопросах.

«Расследование показывает, что изначально они преследовали учетные записи электронной почты для получения информации, связанной с самой Midnight Blizzard», — написала команда Microsoft Security Response Center в своем блоге от 19 января.

«Атака не была результатом уязвимости в продуктах или услугах Microsoft», — написала команда Microsoft. «На сегодняшний день нет никаких доказательств того, что злоумышленник имел какой-либо доступ к клиентской среде, производственным системам, исходному коду или системам искусственного интеллекта. Мы уведомим клиентов, если потребуются какие-либо действия».

Как Midnight Blizzard получила доступ к учетным записям электронной почты Microsoft?

Группа злоумышленников Midnight Blizzard использовала технику, называемую атакой распылением пароля. Распыление паролей — это атака методом перебора, при которой злоумышленники рассылают спам или «распыляют» часто используемые пароли на множество различных учетных записей в одной организации или приложении.

Как защититься от атак с распылением паролей

Угроза атаки методом распыления паролей — это хорошая возможность убедиться, что ваша организация использует многофакторную аутентификацию, следит за старыми устаревшими и тестовыми учетными записями и использует актуальное программное обеспечение SIEM.

Атаки распылением пароля могут быть отмечены резким увеличением количества попыток ввода неправильного пароля или необычно равномерным промежутком времени между попытками. Этот вид атаки может быть эффективным, если пользователей не заставляют менять свои пароли при первом входе в систему. Строгое обнаружение входа в систему, строгие политики блокировки и менеджеры паролей могут снизить вероятность атаки методом распыления паролей.

SEE: Таковы сегодняшние тенденции в области программ-вымогателей, атак на сетевую инфраструктуру и других киберугроз. (Техреспублик)

«Компании должны уделять первоочередное внимание обучению сотрудников преимуществам надежных паролей и 2FA, а также признакам атак социальной инженерии, вредоносным ссылкам и вложениям, а также опасностям небезопасного обмена паролями», — сказал Гэри Оренштейн, директор по работе с клиентами службы управления паролями. фирма Bitwarden в электронном письме TechRepublic. «Внедряйте осведомленность в культуру организации с помощью моделирования или интерактивных модулей, чтобы привить лучшие привычки в области безопасности и укрепить устойчивую позицию в области кибербезопасности».

Проблемы при столкновении с субъектами национального государства

Атаки, спонсируемые государством, станут главной угрозой кибербезопасности в 2024 году. Эти атаки подчеркивают необходимость тщательного планирования реагирования на инциденты и мониторинга аналитической информации об угрозах, особенно среди организаций, которые могут быть конкретно атакованы, таких как крупные технологические или инфраструктурные компании.

Что касается конкретно субъектов национального государства, Microsoft заявила, что такие атаки, как недавняя атака с распылением паролей, заставили компанию изменить «баланс, который нам необходимо найти между безопасностью и бизнес-рисками — традиционных расчетов просто больше недостаточно».

«Для Microsoft этот инцидент подчеркнул острую необходимость двигаться еще быстрее. Мы будем действовать немедленно, чтобы применить наши текущие стандарты безопасности к устаревшим системам и внутренним бизнес-процессам, принадлежащим Microsoft, даже если эти изменения могут привести к нарушению существующих бизнес-процессов», — написала Microsoft.

Примечание редактора: когда TechRepublic связалась с Microsoft для получения дополнительной информации, технологический гигант указал нам на свой пост в блоге.