Na zelf te zijn aangevallen waarschuwt Microsoft voor de dreiging van Midnight Blizzard. Deze door Rusland gesteunde hackersgroep liet grote security-tekortkomingen zien bij Microsoft, maar het bedrijf lijkt nu te willen zeggen dat het zijn lesje geleerd heeft.
De Midnight Blizzard (ook wel Nobelium)-groep wist de e-mailinformatie van hooggeplaatste Microsoft-executives via een legacy tenant te bemachtigen. Via deze tenant, die klaarblijkelijk niet meer bekend was bij de securityteams van Microsoft, kon de groep zich lateraal bewegen om bij de e-mails te komen. We schreven kort na het incident afgelopen week er een bericht over.
In een uitgebreide blog verklaart Microsoft hoe het bedrijf de handelswijzen van Midnight Blizzard achterhaalde. Daarnaast probeert men te benadrukken dat de infiltratie niet zomaar zou kunnen gebeuren bij klanten. Als de getroffen legacy tenant vandaag zou zijn uitgerold, zouden de huidige werkwijzen een aanval hebben verijdeld, aldus Microsoft. Echter zal die uitleg de kritiek van experts over het incident niet doen wegnemen.
Oud verhaal
Het is te waarderen dat Microsoft openhartig is over de werkwijzen van een aanvaller die bij het bedrijf zelf binnendrong. Dergelijke initiatieven helpen andere organisaties om voorbereid te zijn op soortgelijke incidenten. Echter valt op dat de nieuwe blog veel informatie herhaalt van eerdere berichtgeving. In juni 2023 luidde Microsoft namelijk al de noodklok over de tactieken van Midnight Blizzard. Gestolen credentials, kwetsbaarheden in webmail-software en de inzet van JavaScript-malware werden genoemd. Ook publiceerde de techreus twee maanden later een blog waaruit bleek dat Midnight Blizzard mensen op Teams misleidde om MFA te omzeilen. Voor de aanval op Microsoft was dit overigens niet nodig, aangezien MFA uitstond voor toegang tot de corporate-omgeving.
Nu benadrukt Microsoft de daadwerkelijke stappen die de groep nam om bij het bedrijf uit Redmond binnen te komen en ongezien te blijven. Via password spraying was de initiële toegang verkregen, terwijl OAuth-applicaties voor kwaadaardige doeleinden werden ingezet. Deze tools maakten het mogelijk om authenticatie te ontvangen voor Microsoft Exchange Online, waar de corporate e-mails te vinden waren. Vervolgens voorkwamen de hackers detectie door via doodgewone residentiële IP-adressen te opereren.
Tegenover Politico suggereert CTO bij nbhd.ai Marc Rogers dat de retoriek van Microsoft misleidend is. “In feite lijkt het erop dat er sprake is van een gigantisch falen van security best practice,” stelt hij. SVP Counter Adversary Operations bij CrowdStrike Adam Meyers voegde daaraan toe: “Ik kan je vertellen als iemand die bij een securitybedrijf werkt: onze executives zitten niet op legacy tenants zonder MFA.”
Andere organisaties gewaarschuwd
Microsoft laat in de blog weten dat het weet dat andere organisaties tevens door Midnight Blizzard zijn getroffen. HPE is daar één van, hoewel dat bedrijf niet direct een link kon bevestigen tussen het Microsoft-incident en de eigen infiltratie. Welke organisaties ook succesvol binnengevallen zijn, is maar de vraag. Hoe dan ook richt Midnight Blizzard zich vooral op overheidsdiensten, NGO’s en grotere IT-dienstverleners in Europa en de Verenigde Staten. De beruchte SolarWinds-hack uit 2020 was eveneens door deze groep uitgevoerd.
Of we van elke partij te horen krijgen dat ook zij door deze groep getroffen zijn, is onzeker. Hoe dan ook zou het gaan om een grote cyberspionagecampagne. Microsoft zelf suggereert dat de aanvallers enkel uit waren op de kennis die het bedrijf had over de activiteiten van de techreus. Aangezien Microsoft de grootste endpoint security-speler ter wereld is, is die doelstelling en het specifieke doelwit niet geheel verrassend.
Wel dienen we ons af te vragen waarom juist de corporate-accounts dan het doelwit zouden zijn geweest. Immers bevatten de mailboxen van hooggeplaatste medewerkers van Microsoft (en HPE) veel meer informatie dan enkel de kennis over de hackersgroep. Uit deze gestolen informatie, die nog steeds in handen zal zijn van Midnight Blizzard, valt een groot deel van de toekomstige plannen van Microsoft op te maken. Echter is er juist weinig bekend over de precieze informatie die gestolen is. We weten vanuit zowel Microsoft als HPE dat het enkel om een “klein gedeelte” van de e-mailinboxen gaat van het bedrijf. De impact van deze hack is dus nog altijd niet boven water, evenals wie nog meer in het vizier van Midnight Blizzard heeft gestaan.
Lees ook: Belgische afvalverwerker Limburg.net betaalt niet na ransomware -update
16 uur geleden
