上周,微软透露它已成为计算机攻击的受害者。由克里姆林宫资助的俄罗斯黑客组织 Midnight Blizzard 精心策划,这次攻击导致多名微软高管的邮箱被黑客入侵。黑客能够通过妥协来渗透消息传递测试帐户使用弱密码保护。经过调查发现,午夜暴雪只窃取了少量电子邮件,其中一些讨论了俄罗斯帮派的活动。
午夜暴雪对微软的攻击是如何展开的
几天后,微软又回到了网络攻击的情况。美国巨头表示该团伙首先使用简单的暴力攻击。此方法涉及尝试所有可能的组合,直到找到正确的密码。微软还在谈论密码喷射攻击,该攻击涉及测试世界上最广泛使用的代码以获取对系统的访问权限。正如微软解释的那样,“在密码喷射攻击中,攻击者尝试使用最流行或可能的密码的一小部分来登录大量帐户”。
黑客瞄准了少数 Exchange Online 帐户(微软的云消息服务)。其中一个帐户因密码错误而落入黑客手中。在这种情况下,该团伙只关注少数几个账户。此次袭击仅由一“尝试次数少”黑客攻击以便“逃避检测并避免帐户被封锁”。同样,午夜暴雪使用位于不同位置的代理服务器网络来发起暴力攻击。微软指出,黑客“通过大量 IP 地址路由他们的流量,这些 IP 地址也被合法用户使用”,并对这种做法使“传统检测”根本无效表示遗憾。因此,这种预防措施可以隐藏协同攻击的存在。
这是第二部分攻击开始的地方。黑客利用了 OAuth(开放授权),这是一种开放协议,允许第三方应用程序访问用户的受保护资源,而无需共享授予测试帐户的登录凭据。据微软称,“Midnight Blizzard 利用其初始访问权限来识别和破坏旧版 OAuth 测试应用程序,该应用程序已提升对 Microsoft 企业环境的访问权限”。他们然后“创建了其他恶意 OAuth 应用程序”以及 Microsoft 基础设施上的用户帐户,该帐户已同意这些应用程序。随着测试帐户被盗,他们授予应用程序访问 Exchange Online 的权限。这就是黑客窃取微软高管交换消息的方式。
确认午夜暴风雪的存在
微软在挖掘 Exchange Web Services (EWS) 日志时发现,该 API 允许开发人员访问和操作存储在 Exchange 服务器中的数据许多午夜暴雪的典型战术和演练。对于微软专家来说,毫无疑问,这次攻击是由俄罗斯网络犯罪分子煽动的,他们已经对这起事件负责。2020 年著名的 SolarWinds 黑客攻击。
在此过程中,微软透露,午夜暴雪最近攻击了其他公司,通过其消息服务窃取数据。该公司的调查表明“同一攻击者针对其他组织,作为我们定期通知流程的一部分,我们开始通知这些目标组织”,微软解释道。该出版商还为希望保护自己免受俄罗斯团伙侵害的公司提供了一系列建议。
看来惠普很有可能也在名单上。这家美国公司向当局声明称黑客渗透了他们的 Microsoft Office 365 电子邮件窃取文件。惠普已将此次攻击归咎于午夜暴雪。
来源 : 微软
