Microsoft พบว่าตัวเองอยู่ในเป้าเล็งของรัสเซีย แก๊งแฮกเกอร์ชาวรัสเซียโจมตีบริษัทอเมริกันเพื่อขโมยข้อมูล ในที่สุด Microsoft ก็ค้นพบว่าอาชญากรไซเบอร์สามารถเจาะระบบส่งข้อความและสอดแนมผู้บริหารได้อย่างไร
เมื่อสัปดาห์ที่แล้ว Microsoft เปิดเผยว่าตกเป็นเหยื่อของการโจมตีทางคอมพิวเตอร์ จัดทำโดย Midnight Blizzard กลุ่มแฮกเกอร์ชาวรัสเซียที่ได้รับทุนสนับสนุนจากเครมลินการโจมตีดังกล่าวส่งผลให้มีการแฮ็กกล่องจดหมายของผู้บริหาร Microsoft หลายคน- แฮกเกอร์สามารถเจาะข้อความโดยการประนีประนอมบัญชีทดสอบปลอดภัยด้วยรหัสผ่านที่ไม่รัดกุม หลังจากการสอบสวน ปรากฎว่า Midnight Blizzard ขโมยอีเมลไปเพียงไม่กี่ฉบับ ซึ่งบางฉบับกล่าวถึงกิจกรรมของแก๊งรัสเซีย
อ่านเพิ่มเติม:Microsoft ปิดการใช้งานเครื่องมือ Windows ที่ถูกแฮกเกอร์แย่งชิงจำนวนมาก
การโจมตีของ Midnight Blizzard ต่อ Microsoft เกิดขึ้นได้อย่างไร
ไม่กี่วันต่อมา Microsoft ก็กลับสู่สถานการณ์การโจมตีทางไซเบอร์อีกครั้ง ยักษ์อเมริกาชี้ว่าแก๊งค์ใช้ครั้งแรกการโจมตีด้วยกำลังดุร้ายธรรมดา- วิธีนี้เกี่ยวข้องกับการลองใช้ชุดค่าผสมที่เป็นไปได้ทั้งหมดจนกว่าคุณจะพบรหัสผ่านที่ถูกต้อง Microsoft ยังพูดถึงการโจมตีแบบสเปรย์รหัสผ่าน ซึ่งเกี่ยวข้องกับการทดสอบรหัสที่ใช้กันอย่างแพร่หลายมากที่สุดในโลกเพื่อเข้าสู่ระบบ ดังที่ Microsoft อธิบาย“ในการโจมตีแบบสเปรย์รหัสผ่าน ฝ่ายตรงข้ามพยายามเข้าสู่ระบบบัญชีจำนวนมากโดยใช้ชุดย่อยเล็กๆ ของรหัสผ่านที่ได้รับความนิยมมากที่สุดหรือน่าจะเป็นไปได้”-
แฮกเกอร์กำหนดเป้าหมายบัญชี Exchange Online จำนวนหนึ่งซึ่งเป็นบริการส่งข้อความบนคลาวด์ของ Microsoft บัญชีหนึ่งที่มีการรักษาความปลอดภัยด้วยรหัสผ่านที่ไม่ถูกต้องตกไปอยู่ในมือของแฮกเกอร์ ในสถานการณ์สมมตินี้ แก๊งค์มุ่งความสนใจไปที่บัญชีเพียงไม่กี่บัญชีเท่านั้น การโจมตีมีเพียงหนึ่งเดียว“จำนวนความพยายามน้อย”แฮ็คเพื่อที่จะ“เพื่อหลบหนีการตรวจจับและหลีกเลี่ยงการบล็อกบัญชี”- ในแนวทางเดียวกัน Midnight Blizzard ใช้เครือข่ายพร็อกซีเซิร์ฟเวอร์ที่ตั้งอยู่ในสถานที่ต่างๆ เพื่อเปิดการโจมตีแบบเดรัจฉาน แฮกเกอร์กำหนดเส้นทาง “การรับส่งข้อมูลผ่านที่อยู่ IP จำนวนมากซึ่งผู้ใช้ที่ถูกกฎหมายใช้เช่นกัน” ระบุถึง Microsoft โดยเสียใจที่การดำเนินการดังกล่าวทำให้ “การตรวจจับแบบดั้งเดิม” ไม่ได้ผล ข้อควรระวังนี้จึงทำให้สามารถซ่อนการโจมตีที่มีการประสานงานได้
นี่คือจุดเริ่มต้นของการโจมตีส่วนที่สอง แฮกเกอร์ใช้ประโยชน์จาก OAuth (Open Authorization) ซึ่งเป็นโปรโตคอลแบบเปิดที่อนุญาตให้แอปพลิเคชันบุคคลที่สามเข้าถึงทรัพยากรที่ได้รับการป้องกันของผู้ใช้โดยไม่จำเป็นต้องเปิดเผยข้อมูลรับรองการเข้าสู่ระบบที่มอบให้กับบัญชีทดสอบ ตามที่ไมโครซอฟต์ระบุว่า“Midnight Blizzard ใช้ประโยชน์จากการเข้าถึงเบื้องต้นเพื่อระบุและประนีประนอมแอปพลิเคชันทดสอบ OAuth รุ่นเก่าที่ยกระดับการเข้าถึงสภาพแวดล้อมองค์กรของ Microsoft”- พวกเขาแล้ว“สร้างแอปพลิเคชัน OAuth ที่เป็นอันตรายอื่นๆ”และบัญชีผู้ใช้บนโครงสร้างพื้นฐานของ Microsoft ซึ่งได้ให้ความยินยอมแก่แอปพลิเคชัน เนื่องจากบัญชีทดสอบถูกบุกรุก พวกเขาจึงให้แอปพลิเคชันเข้าถึง Exchange Online นี่คือวิธีที่แฮกเกอร์ขโมยข้อความที่ผู้บริหาร Microsoft แลกเปลี่ยนกัน
การปรากฏตัวของ Midnight Blizzard ได้รับการยืนยันแล้ว
ในขณะที่ขุดผ่านบันทึกของ Exchange Web Services (EWS) ซึ่งเป็น API ที่ช่วยให้นักพัฒนาสามารถเข้าถึงและจัดการข้อมูลที่เก็บไว้ในเซิร์ฟเวอร์ Exchange Microsoft ค้นพบกลยุทธ์และคำแนะนำแบบทั่วไปของ Midnight Blizzard มากมาย- ไม่ต้องสงสัยเลยสำหรับผู้เชี่ยวชาญของ Microsoft ว่าการโจมตีดังกล่าวเกิดขึ้นโดยอาชญากรไซเบอร์ชาวรัสเซีย ซึ่งมีหน้าที่รับผิดชอบต่อแฮ็ค SolarWinds ที่มีชื่อเสียงในปี 2020-
ในกระบวนการนี้ Microsoft เปิดเผยว่า Midnight Blizzard เพิ่งโจมตีบริษัทอื่นเพื่อขโมยข้อมูลผ่านบริการส่งข้อความ การสอบสวนของบริษัทแสดงให้เห็นว่า“ผู้ดำเนินการคนเดียวกันกำหนดเป้าหมายไปที่องค์กรอื่น และในฐานะส่วนหนึ่งของกระบวนการแจ้งเตือนปกติของเรา เราได้เริ่มแจ้งเตือนองค์กรเป้าหมายเหล่านี้”, อธิบายไมโครซอฟต์ ผู้จัดพิมพ์ยังได้จัดทำรายการคำแนะนำสำหรับบริษัทที่ต้องการปกป้องตนเองจากแก๊งรัสเซีย
ดูเหมือนว่ามีความเป็นไปได้มากที่ HP จะอยู่ในรายชื่อ บริษัทอเมริกันได้ประกาศต่อเจ้าหน้าที่ว่าแฮกเกอร์เจาะอีเมล Microsoft Office 365 ของตนเพื่อขโมยไฟล์ HP ถือว่าการโจมตีนี้เป็นของ Midnight Blizzard แล้ว
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : ไมโครซอฟต์
