«Η επίθεση της ομάδας χαρακτηρίζεται από μια διαρκή, σημαντική δέσμευση των πόρων, του συντονισμού και της εστίασης του παράγοντα απειλής», αναφέρει η Microsoft έγραψε στο ιστολόγιο ασφαλείας της. «Αυτό αντανακλά αυτό που έχει γίνει ευρύτερα ένα άνευ προηγουμένου τοπίο παγκόσμιας απειλής, ειδικά όσον αφορά τις εξελιγμένες επιθέσεις εθνικών κρατών».
Η Microsoft είπε ότι εξετάζει τα μηνύματα ηλεκτρονικού ταχυδρομείου που είχαν κλαπεί από στελέχη και το προσωπικό ασφαλείας της και προειδοποιεί τους πελάτες των οποίων τα μυστικά μπορεί να είχαν αποκαλυφθεί σε αυτή την αλληλογραφία. Αρνήθηκε να πει πόσους πελάτες είχε ειδοποιήσει ή να αποκλείσει εάν οι χάκερ είχαν κλέψει τον πηγαίο κώδικα ή παρέμειναν εντός της εταιρείας. Η Hewlett-Packard Enterprise, η οποία παρέχει υπηρεσίες cloud σε μεγάλες εταιρείες, επίσης είπε τον περασμένο μήνα ότι είχε χακαριστεί.
Η επιτυχία της εκστρατείας μέχρι σήμερα έχει σοκάρει αξιωματούχους πληροφοριών σε πολλές ηπείρους, οι οποίοι έχουν προειδοποιήσει ιδιωτικά για δεκάδες ακόμη θύματα. Έχουν εκδώσει προειδοποιήσεις στους χρήστες υπηρεσιών cloud, συμπεριλαμβανομένων των προγραμμάτων Office της Microsoft και του Outlook email, με λεπτομερή συστάσεις για το πώς να σκληρύνουν τις εγκαταστάσεις τους.
Την Πέμπτη, η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ και το Υπουργείο Εσωτερικής Ασφάλειας συνέστησαν στους πελάτες να αξιολογήσουν το αρχείο ασφαλείας των προμηθευτών τους, να ελέγξουν τα αρχεία καταγραφής δραστηριότητας στους λογαριασμούς τους και να περιορίσουν την εξουσία των χρηστών.
Αν και η Amazon και η Google της Alphabet είναι σημαντικοί πωλητές υπηρεσιών cloud, κανένας από τους δύο δεν έχει ανακοινώσει αυξημένες επιθέσεις ούτε έχει τόσες ευαίσθητες κρατικές υπηρεσίες όσο πελάτες όπως η Microsoft. Και οι δύο αρνήθηκαν να σχολιάσουν. (Ο ιδρυτής της Amazon, Τζεφ Μπέζος, είναι ιδιοκτήτης της Washington Post.)
Η Microsoft απέδωσε τις συνεχιζόμενες επιθέσεις σε μια ομάδα SVR που αποκαλεί Midnight Blizzard και την οποία άλλες εταιρείες ασφαλείας αναφέρονται ως APT29 ή Cozy Bear. Είναι η ίδια ομάδα που χακάρισε την εταιρεία λογισμικού δικτύου SolarWinds το 2020. Σε αυτήν την περίπτωση, οι χάκερ εισήγαγαν μια κερκόπορτα στον κώδικα SolarWinds που τους επέτρεψε να διερευνήσουν εννέα ομοσπονδιακούς οργανισμούς και 100 άλλους πελάτες της SolarWinds.
Ως μέρος αυτής της εκστρατείας hacking, οι εισβολείς σε κίνδυνο Μεταπωλητές της Microsoft με συνεχή πρόσβαση σε πελάτες και στη συνέχεια πρόσθεσαν ή τροποποίησαν λογαριασμούς επιδιώκοντας να κλέψουν email. Η SEC μήνυσε την SolarWinds πέρυσι επειδή δεν είπαν στους μετόχους ότι τα συστήματά τους υπόκεινται σε hacks.
Οι συνεντεύξεις με άτομα που απάντησαν σε πρόσφατες επιθέσεις δείχνουν ότι οι μεταπωλητές παραμένουν στόχος για το SVR, ειδικά εκείνοι που έχουν συνεχή πρόσβαση σε πελάτες μέσω “λογαριασμών υπηρεσίας” που μπορούν να προσθέσουν ή να αφαιρέσουν νέους χρήστες της Microsoft.
«Ένα από τα πράγματα που βλέπουμε είναι η συνεχιζόμενη κατάχρηση και εκμετάλλευση μικρότερων εταιρειών που θα δημιουργήσουν ενοικιαστές email για μικρούς οργανισμούς. Αυτό επιτρέπει στον παράγοντα της απειλής να υπονομεύσει το περιβάλλον της μικρής εταιρείας και να αποκτήσει πρόσβαση διαχειριστή σε όλα τα email των ενοικιαστών που έχουν δημιουργήσει στο παρελθόν.” είπε ο Charles Carmakal, επικεφαλής τεχνολογίας στην επιχείρηση ασφάλειας Mandiant της Google.
«Η απόκτηση πρόσβασης σε αυτούς τους λογαριασμούς παρέχει στους παράγοντες απειλών προνομιακή αρχική πρόσβαση σε ένα δίκτυο, για να ξεκινήσουν περαιτέρω επιχειρήσεις», δήλωσε το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο (NCSC) της Βρετανίας. δελτίο Την προηγούμενη εβδομάδα. “Οι καμπάνιες SVR έχουν επίσης στοχεύσει αδρανείς λογαριασμούς που ανήκουν σε χρήστες που δεν εργάζονται πλέον σε οργανισμό-θύμα, αλλά των οποίων οι λογαριασμοί παραμένουν στο σύστημα.”
Το NCSC είπε ότι οι υπηρεσίες πληροφοριών του «Five Eyes» — Μεγάλη Βρετανία, Αυστραλία, Καναδάς, Νέα Ζηλανδία και Ηνωμένες Πολιτείες — συμφώνησαν ότι το SVR της Ρωσίας ήταν ο δράστης της επίθεσης. Είπε ότι το SVR είχε επεκτείνει τους στόχους του από εθνικές υπηρεσίες και δεξαμενές σκέψης για να συμπεριλάβει την αεροπορία, την εκπαίδευση, την επιβολή του νόμου, την τοπική κυβέρνηση και στρατιωτικούς στόχους.
Η αναθεωρημένη αξιολόγηση της Microsoft ανανέωσε ερωτήματα σχετικά με την ικανότητά της να υπερασπίζεται τον εαυτό της και τους ευαίσθητους πελάτες της. Η εισβολή είναι μία από τις πολλαπλές παραβιάσεις εκεί από το SVR τα τελευταία χρόνια. Σε προηγούμενο περιστατικό, οι χάκερ ανακτήθηκε πηγαίος κώδικας σχετικά με το σύστημα ελέγχου ταυτότητας της εταιρείας. Η Microsoft ήταν επίσης μεταχειρισμένος από κινεζικούς κυβερνητικούς χάκερ πέρυσι ως σκαλοπάτι για την κλοπή μηνυμάτων ηλεκτρονικού ταχυδρομείου από αξιωματούχους του υπουργείου Πολιτείας και Εμπορίου.
Ο Chris Krebs, επικεφαλής πληροφοριών στην εταιρεία ασφαλείας SentinelOne, είπε ότι η Ρωσία και άλλοι στοχεύουν φυσικά τους παρόχους cloud, καθώς περισσότερες μεγάλες εταιρείες και κυβερνήσεις εξαρτώνται από αυτούς.
«Δεν έχουμε φτάσει σε σημείο πόνου για αυτούς που θα μπορούσε να τους κάνει να ξανασκεφτούν τη στρατηγική τους να κυνηγήσουν αυτές τις μεγαλύτερες εταιρείες υπηρεσιών cloud, όπως η Microsoft. Το έχουν σταθερά στη λίστα προτεραιοτήτων στόχευσης», δήλωσε ο Krebs, ο οποίος προηγουμένως ήταν επικεφαλής της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών.
Στην πιο πρόσφατη περίπτωση, η αρχική αποκάλυψη της Microsoft ανέφερε ότι οι χάκερ SVR είχαν εισέλθει σε έναν ανενεργό λογαριασμό δοκιμής cloud. Αλλά δεν ανέφερε πώς είχαν φτάσει από εκεί στα email των ανώτερων στελεχών και αυτό το ερώτημα παραμένει αναπάντητο, κρατώντας ανοιχτό το ενδεχόμενο το SVR να έχει ανακαλύψει ένα νέο σημαντικό ελάττωμα στο σύστημα cloud Azure της Microsoft.
«Είναι σαφές ότι ο έλεγχος ταυτότητας είναι ένα χάος στη Microsoft», δήλωσε ο Adam Meyers, ανώτερος αντιπρόεδρος της CrowdStrike, η οποία, όπως και η SentinelOne, ανταγωνίζεται τη Microsoft στον τομέα της ασφάλειας.
Ο Meyers είπε ότι είναι επικίνδυνο το γεγονός ότι πολλοί κυβερνητικοί πελάτες βασίζονται στη Microsoft όχι μόνο για επεξεργασία κειμένου και email, αλλά και για έλεγχο ταυτότητας και ασφάλεια.
“Εάν βάλετε όλα τα αυγά σας σε ένα καλάθι και αυτό το καλάθι είναι η Microsoft, αυτό το καλάθι έχει μια μεγάλη τρύπα σε σχήμα αυγού”, είπε ο Meyers. “Χρειάζεστε ασφάλεια σε επίπεδα.”