Alebo Ako Microsoft zabudol na multifaktorovú autentifikáciu a je z toho tak trochu škandál.

Kybernetický útok na internú sieť spoločnosti Microsoft je lekciou pre všetkých profesionálov. Incident viedol ku krádeži interných e-mailov a súborov topmanažérov a zamestnancov spoločnosti. Ak sa chystáte mávnuť rukou, že ide len o ďalší útok v tomto roku, mali by ste spozornieť!

Hackerská skupina Cozy Bear spearphishingovým útokom úspešne kompromitovala staršie testovacie konto, ktoré nemalo zapnutú multifaktorovú autentifikáciu (multi-factor authentification – MFA).

Pikantné na tom je, že samotná spoločnosť Microsoft opakovane uvádza, že MFA je jedným z najjednoduchších spôsobov, ako kybernetickým zločincom sťažiť krádež osobných údajov, identity aj finančných prostriedkov.

Ako sa to stalo?

Celé sa to podľa tvrdenia Microsoftu začalo minulý rok v novembri. Cozy Bear využil ako vektor útoku do podnikovej siete spearphishingový útok. Neoprávnený prístup získali metódou password spraying.

Princíp metódy je jednoduchý, je to testovanie malého počtu hesiel na veľkom objeme používateľských účtov. Password spraying funguje najmä ak používatelia majú slabé alebo rovnaké heslá k rôznym účtom. Proste útočníci skúšali heslá, kým sa niečo nepodarilo. A podarilo sa.

Po prieniku do siete získali útočníci prístup k firemnej elektronickej pošte. Napadli staršiu testovaciu aplikáciu OAuth, ktorá mala prístup do IT prostredia Microsoftu. Získali tak prístup k e-mailom vedúcich pracovníkov aj zamestnancov právneho a bezpečnostného oddelenia. Útočníci mohli poštu nielen čítať, ale aj kradnúť správy a prílohy.

Chlapci neboli amatéri

Cozy Bear, Midnight Blizzard, Nobellium, BlueBravo. To všetko sú pomenovania pre toho istého aktéra hrozieb. Skupina známa predovšetkým ako APT29 je súčasťou ruskej zahraničnej spravodajskej služby SVR, ktorá je zodpovedná za zahraničnú špionáž.

Napojenie Cozy Bear na Kremeľ potvrdzuje aj rozsiahla štúdia NATO, podľa ktorej pracujú hackeri na realizácii informačných operácií Ruska. Kyberzločinci stoja za niektorými z najničivejších ruských útokov na Spojené štáty americké vrátane hackerského útoku na spoločnosť SolarWinds v roku 2020 a útoku na Národný výbor Demokratickej strany v roku 2016. V minulosti útočili aj na slovenské vládne inštitúcie.

Korporácia sa bráni

Microsoft tvrdí, že ide o veľmi malé percento zamestnancov. Vo vyhlásení uvádza, že hackerom zablokoval prístup do interných systémov. Údajne nie sú dôkazy o prieniku do zákazníckeho prostredia, k zdrojovému kódu alebo do umelej inteligencie.

Ako sa útoku mohlo zabrániť? Jednoducho – pomocou multifaktorovej autentifikácie.

Ďalší gigant terčom útoku

Pravdepodobne ďalšou „medveďovou“ obeťou je spoločnosť Hewlett-Packard. Hackeri napojení na ruskú vládu získali prístup do jej cloudového e-mailového prostredia.

Na základe vyšetrovania sa predpokladá, že útočníci získali prístup k údajom z malého percenta poštových schránok spoločnosti, ktoré patrili jednotlivcom z kyberbezpečnosti aj obchodu. Hewlett-Packard sa domnieva, že tento incident súvisí s predchádzajúcimi neoprávnenými aktivitami odhalenými v júni 2023.

Len meno a heslo? To je prežitok

Útok na Microsoft priniesol jasný odkaz v podobe nevyhnutnosti multifaktorovej autentifikácie pre používateľské účty. Lebo ani globálne technologické giganty očividne nie sú nedotknuteľné a mali by si čo najskôr zapnúť MFA. A to pre všetky používateľské účty. Alebo si aspoň overiť, či neexistuje zabudnutý účet bez MFA.

***

^Zdroje