كشفت شركة مايكروسوفت الأسبوع الماضي أنها اكتشفت أن أنظمة الشركة الخاصة بها قد تعرضت للاختراق من قبل قراصنة روس تدعمهم الدولة والذين كانوا وراء هجوم SolarWinds. تمكن المتسللون من الوصول إلى حسابات البريد الإلكتروني لبعض أعضاء فريق القيادة العليا لشركة Microsoft، ومن المحتمل أن يقوموا بمراقبتهم لأسابيع أو أشهر.
في حين أن مايكروسوفت لم تقدم الكثير من التفاصيل حول كيفية وصول المهاجمين في أول كشف لها إلى لجنة الأوراق المالية والبورصات في وقت متأخر من يوم الجمعة، فقد أصدرت شركة تصنيع البرمجيات الآن تحليلاً أوليًا لكيفية اختراق المتسللين لوسائل الحماية الأمنية الخاصة بها. وحذرت مايكروسوفت أيضًا من أن مجموعة القرصنة المتعلقة بالطقس، والمعروفة باسم نوبليوم أو "ميدنايت بليزارد"، كما تسميها مايكروسوفت، تهاجم منظمات أخرى.
تمكنت شركة نوبليوم في البداية من الوصول إلى أنظمة ميكروسوفت عبر هجوم رش كلمة المرور. هذا الهجوم عبارة عن هجوم عنيف يستخدم فيه المتسللون قاموسًا لكلمات المرور المحتملة لمهاجمة الحساب. علاوة على ذلك، لم يكن لدى حساب المستأجر الاختباري غير الإنتاجي المخترق تمكين المصادقة الثنائية. وقالت مايكروسوفت إن نوبليوم "صمم هجوم رش كلمة المرور لاستهداف عدد محدود من الحسابات، باستخدام عدد أقل من المحاولات لتجنب الكشف".
في هذا الهجوم، استفادت المجموعة من وصولها الأولي لتحديد واختراق تطبيق OAuth للاختبار القديم والذي كان لديه وصول متقدم إلى بيئة مؤسسة Microsoft. OAuth هو معيار مفتوح يستخدم على نطاق واسع للمصادقة المستندة إلى الرمز المميز. يتم استخدامه بشكل شائع عبر الويب للسماح لك بتسجيل الدخول إلى التطبيقات والخدمات دون إعطاء كلمة المرور الخاصة بك إلى موقع ويب. فكر في مواقع الويب التي قد تقوم بتسجيل الدخول إليها باستخدام حساب Gmail الخاص بك. وهنا يأتي دور OAuth.
سمح الوصول المرتفع للمجموعة بإنشاء المزيد من تطبيقات OAuth الضارة وإنشاء حسابات للوصول إلى بيئة مؤسسة Microsoft وفي النهاية خدمة Office 365 Exchange Online، وبالتالي الوصول إلى صناديق البريد الإلكتروني الواردة.
يوضح فريق الأمان في Microsoft: "تستفيد MidnightBlizzard من تطبيقات OAuth الضارة هذه لمصادقة حسابات Microsoft Exchange Online وحسابات البريد الإلكتروني للأعمال من Microsoft.
ولم تكشف مايكروسوفت عن عدد حسابات البريد الإلكتروني الخاصة بالشركة التي تم استهدافها والوصول إليها، لكن الشركة وصفتها سابقًا بأنها "مجموعة فرعية صغيرة جدًا من حسابات البريد الإلكتروني لشركة مايكروسوفت، بما في ذلك أعضاء فريق القيادة العليا لدينا والموظفين في الأمن السيبراني والوظائف القانونية وغيرها".
ولم تكشف Microsoft أيضًا عن الجدول الزمني الدقيق للمدة التي قام فيها المتسللون بمراقبة فريق القيادة العليا والموظفين الآخرين. وقع الهجوم الأولي في أواخر نوفمبر 2023، لكن مايكروسوفت لم تكن على علم به حتى 12 يناير. وقد يعني هذا أن المهاجمين كانوا يتجسسون على المديرين التنفيذيين لشركة مايكروسوفت لمدة شهرين تقريبًا.
كشفت شركة Hewlett Packard Enterprise (HPE) في وقت سابق من هذا الأسبوع أن نفس المجموعة من المتسللين تمكنت سابقًا من الوصول إلى "بيئة البريد الإلكتروني المستندة إلى السحابة". لم تذكر HPE اسم الموفر، لكن الشركة كشفت أن الحادث "مرتبط على الأرجح" بـ "عدد محدود من عمليات استخراج ملفات SharePoint [Microsoft] في وقت مبكر من مايو 2023".
ويأتي الهجوم بعد أيام فقط من إعلان مايكروسوفت عن خطط لإصلاح أمن برامجها بعد هجوم كبير على سحابة Azure الخاصة بها. هذا هو أحدث حادث يتعلق بالأمن السيبراني واجهته Microsoft. في السابق، في عام 2021، تم اختراق 30 ألف خادم بريد إلكتروني خاص بالمؤسسة بسبب ثغرة أمنية في Microsoft Exchange Server. في العام الماضي، قام قراصنة صينيون بغزو رسائل البريد الإلكتروني الحكومية الأمريكية من خلال ثغرة أمنية في السحابة لدى Microsoft. وكانت مايكروسوفت أيضًا في قلب هجوم SolarWinds الضخم منذ ما يقرب من ثلاث سنوات، وكانت نفس مجموعة نوبليوم وراء هذا الهجوم المحرج عبر البريد الإلكتروني التنفيذي.
اعترفت مايكروسوفت بأن حساب الاختبار الرئيسي الخاص بها يفتقر إلى المصادقة الثنائية، مما قد يسبب القلق في مجتمع الأمن السيبراني. على الرغم من أن هذه لم تكن ثغرة أمنية في برامج Microsoft، إلا أنها كانت عبارة عن بيئة اختبار سيئة التكوين سمحت للمتسللين باجتياز شبكة شركة Microsoft بصمت. في وقت سابق من هذا الأسبوع، تساءل الرئيس التنفيذي لشركة CrowdStrike، جورج كورتز، في مقابلة مع CNBC: "كيف أدت بيئة الاختبار غير الإنتاجية إلى تعريض كبار المسؤولين في Microsoft للخطر؟" أعتقد أن هناك المزيد في المستقبل. "
تم إصدار المزيد من المعلومات، لكن بعض التفاصيل الأساسية لا تزال مفقودة. تدعي Microsoft أنه إذا تم نشر نفس بيئة الاختبار غير الإنتاجية اليوم، فإن "سياسات Microsoft المفروضة وسير العمل ستضمن تمكين MFA والحماية الاستباقية لدينا" لتوفير حماية أفضل ضد هذه الهجمات. لا يزال أمام Microsoft الكثير لتشرحه، خاصة إذا كانت تريد إقناع العملاء بأنها تعمل بالفعل على تحسين الطريقة التي يتم بها تصميم برامجها وخدماتها وإنشائها واختبارها وتشغيلها لتوفير حماية أفضل ضد التهديدات الأمنية.
يتعلم أكثر:
https://www.microsoft.com/en-us/security/blog/2024/01/25/midnight-blizzard-guidance-for-responders-on-nation-state-attack/