上週,微軟透露它已成為電腦攻擊的受害者。由克里姆林宮資助的俄羅斯駭客組織 Midnight Blizzard 精心策劃,這次攻擊導致多名微軟高階主管的郵箱被駭客入侵。駭客能夠透過妥協來滲透訊息傳遞測試帳戶使用弱密碼保護。經過調查發現,午夜暴雪只竊取了少量電子郵件,其中一些討論了俄羅斯幫派的活動。
午夜暴雪對微軟的攻擊是如何展開的
幾天后,微軟又回到了網路攻擊的情況。美國大廠表示該團夥首先使用簡單的暴力攻擊。此方法涉及嘗試所有可能的組合,直到找到正確的密碼。微軟還在談論密碼噴射攻擊,該攻擊涉及測試世界上最廣泛使用的程式碼以獲取對系統的存取權限。正如微軟解釋的那樣,“在密碼噴射攻擊中,攻擊者嘗試使用最受歡迎或可能的密碼的一小部分來登入大量帳戶”。
駭客瞄準了少數 Exchange Online 帳號(微軟的雲端訊息服務)。其中一個帳戶因密碼錯誤而落入駭客手中。在這種情況下,該團夥只關注少數幾個帳戶。此次襲擊僅由一“嘗試次數少”駭客攻擊以便“逃避偵測並避免帳號被封鎖”。同樣,午夜暴雪使用位於不同位置的代理伺服器網路來發動暴力攻擊。微軟指出,駭客“通過大量 IP 位址路由他們的流量,這些 IP 位址也被合法用戶使用”,並對這種做法使“傳統檢測”根本無效表示遺憾。因此,這種預防措施可以隱藏協同攻擊的存在。
這是第二部分攻擊開始的地方。駭客利用了 OAuth(開放授權),這是一種開放協議,允許第三方應用程式存取用戶的受保護資源,而無需共享授予測試帳戶的登入憑證。據微軟稱,“Midnight Blizzard 利用其初始訪問權限來識別和破壞舊版 OAuth 測試應用程序,該應用程序已提升對 Microsoft 企業環境的訪問權限”。他們然後“創建了其他惡意 OAuth 應用程式”以及 Microsoft 基礎架構上的使用者帳戶,該帳戶已同意這些應用程式。隨著測試帳戶被盜,他們授予應用程式存取 Exchange Online 的權限。這就是駭客竊取微軟高階主管交換訊息的方式。
確認午夜暴風雪的存在
微軟在挖掘 Exchange Web Services (EWS) 日誌時發現,該 API 允許開發人員存取和操作儲存在 Exchange 伺服器中的數據許多午夜暴雪的典型戰術和演練。對微軟專家來說,毫無疑問,這次攻擊是由俄羅斯網路犯罪分子煽動的,他們已經對這起事件負責。2020 年著名的 SolarWinds 駭客攻擊。
在此過程中,微軟透露,午夜暴雪最近攻擊了其他公司,透過其訊息服務竊取資料。該公司的調查表明“同一攻擊者針對其他組織,作為我們定期通知流程的一部分,我們開始通知這些目標組織”,微軟解釋。該出版商還為希望保護自己免受俄羅斯團夥侵害的公司提供了一系列建議。
看來惠普很有可能也在名單上。這家美國公司向當局聲明稱駭客滲透了他們的 Microsoft Office 365 電子郵件竊取文件。惠普已將這次攻擊歸咎於午夜暴雪。
來源 : 微軟
