Rosyjscy hakerzy włamali się do Microsoftu – włamanie wykryto po dwóch miesiącach
Microsoft jako spółka notowana na giełdzie jest firmą zobowiązaną do okresowego dostarczania do SEC, czyli amerykańskiej Komisji Papierów Wartościowych i Giełd danych, które mogą mieć wpływ na racjonalność decyzji inwestorów. Jeden akapit w przesłanym w piątek do SEC oświadczeniu ujawnił poważny incydent i naruszenie bezpieczeństwa danych w Microsoft.
Jak brzmi ten akapit z wspomnianego oświadczenia? Poniżej tłumaczenie (przyznaję, maszynowe, ale powinno pozwolić zorientować się w tym, co tak naprawdę się stało):
Począwszy od końca listopada 2023 r., cyberprzestępca wykorzystał atak rozsyłania haseł, aby naruszyć bezpieczeństwo starszego nieprodukcyjnego konta dzierżawy testowej i uzyskać przyczółek, a następnie wykorzystał uprawnienia konta, aby uzyskać dostęp do bardzo niewielkiego odsetka firmowych kont e-mail firmy Microsoft, w tym członków naszego zespołu kierowniczego wyższego szczebla i pracowników w naszych funkcjach związanych z cyberbezpieczeństwem, prawem i innymi. [Przestępca – dop. red.] eksfiltrował niektóre e-maile i załączone dokumenty. Dochodzenie wskazuje, że początkowo atakowali konta e-mail w celu uzyskania informacji związanych z samym Midnight Blizzard [Tak Microsoft nazywa powiązaną z Kremlem grupę atakujących – dop. red.]. Jesteśmy w trakcie powiadamiania pracowników, do których poczty e-mail uzyskano dostęp.
Co ciekawe, choć ustalono, że do naruszenia bezpieczeństwa danych w Microsoft doszło pod koniec listopada 2023 roku, to firma zorientowała się, że jest celem trwającego ataku dopiero 12 stycznia. To oznacza, że prze niemal dwa miesiące hakerzy z grupy określanej jako Midnight Blizzard, którzy ponoć (wg Microsoft) są powiązani z Kremlem, podejmowali działania i mieli dostęp przynajmniej do części skrzynek e-mailowych kierownictwa wyższego szczebla w amerykańskiej korporacji.
Jakim cudem w firmie, która dziś jest globalnie rozpoznawalna jako potentat technologiczny funkcjonowało urządzenie nie tylko pozbawione dwuskładnikowego uwierzytelniania, ale chronione słabym hasłem. Rosjanie nie zastosowali tutaj jakiejś niesamowitej techniki włamania. Hasło okazało się na tyle słabe, że rosyjscy hakerzy po prostu je… odgadli (!). Brak 2FA (dwuskładnikowego uwierzytelniania) pozwolił tym samym uzyskać dostęp do słabo chronionego konta. To jednak był dopiero pierwszy krok.
Konto, na które udało się uzyskać dostęp Rosjanom, było – jak napisał sam Microsoft – starym, nie wykorzystywanym produkcyjnie kontem testowym. Pojawia się zatem pytanie, jakim cudem atakujący, który uzyskał do niego dostęp, zdołał za jego pośrednictwem uzyskać dostęp do znacznie bardziej newralgicznych kont e-mail pracowników wyższego szczebla? Rzecz wręcz kuriozalna i nie mówimy tu o firmie produkującej słomki, czy wkładki do butów, lecz o światowym technologicznym potentacie. Rzecz ciekawie skomentował prof. Steve Bellovin wykładowca informatyki i prawa na Uniwersytecie Columbia:
Dla ułatwienia załączam tłumaczenie słów profesora Bellovina:
„Wiele fascynujących implikacji tutaj. Udany atak metodą password spraying sugeruje brak 2FA i albo powtórnie używane, albo słabe hasła. Dostęp do kont e-mail należących do zespołów „kierownictwa, cyberbezpieczeństwa i prawnego” za pomocą tylko uprawnień „konta testowego” sugeruje, że ktoś nadał temu kontu testowemu niesamowite uprawnienia. Dlaczego? Dlaczego nie zostało usunięte po zakończeniu testu? Zauważam również, że Microsoftowi zajęło około siedmiu tygodni wykrycie ataku”.
Odpowiedzi na pytanie dlaczego konto testowe wciąż było aktywne i miało tak wysokie uprawnienia dziś nie poznamy. Niedopatrzenie? Głupota? A może celowa „luka” pozostawiona Rosjanom?
