Hakerzy, prawdopodobnie powiązani z Chinami, przeprowadzają na dużą skalę ataki typu „password spraying” wymierzone w organizacje na Zachodzie – twierdzą eksperci ds. cyberbezpieczeństwa.
Według raportu badaczy z SecurityScorecard, szczególnie zagrożone są firmy korzystające z pakietu Microsoft 365, który obejmuje oferuje szeroki pakiet usług, co mogą wykorzystać cyberprzestępcy.
SecurityScorecard odkryło dowody sugerujące, iż za atakami mogą stać grupy powiązane z Chinami. Korzystają one z infrastruktury dostawców CDS Global Cloud i UCLOUD HK, którzy mają „operacyjne powiązania” z Państwem Środka. Serwery wykorzystywane do sterowania atakiem (C2) były natomiast hostowane przez SharkTech, amerykańskiego dostawcę, który w przeszłości udostępniał infrastrukturę cyberprzestępcom.
Microsoft 365 na celowniku atakujących
Ataki typu „password spraying” nie są niczym nowym, lecz ta kampania wyróżnia się szczególną skutecznością dzięki wykorzystaniu tzw. „non-interactive sign-ins” (logowań nieinteraktywnych). Taka metoda pozwala cyberprzestępcom unikać wykrycia przez standardowe systemy zabezpieczeń.
„Zwykle ataki typu password spraying powodują blokadę kont i uruchamiają alerty bezpieczeństwa” – wyjaśniają badacze. „Jednak w tym przypadku celowo wykorzystywane są logowania nieinteraktywne, stosowane do uwierzytelniania między usługami, które nie zawsze generują ostrzeżenia. Dzięki temu atakujący mogą działać niezauważeni, omijając uwierzytelnianie wieloskładnikowe (MFA) oraz polityki dostępu warunkowego (CAP), nawet w bardzo zabezpieczonych środowiskach”.
Celem ataku są głównie konta Microsoft 365 w firmach z sektora finansowego i ubezpieczeniowego, ale także w branży opieki zdrowotnej, rządowej, wojskowej, technologicznej, edukacyjnej i badawczej.
Eksperci podkreślają, iż zagrożenie jest poważne, ponieważ atak ten skutecznie omija współczesne mechanizmy obronne. Co więcej, podejrzewają, że może on być prowadzony przez rząd Chin. W związku z tym organizacje zachodnie powinny podjąć dodatkowe środki ostrożności, takie jak:
- Monitorowanie historii logowań nieinteraktywnych w poszukiwaniu nieautoryzowanych prób dostępu
- Zmianę haseł dla kont, które mogły zostać naruszone
- Wyłączenie przestarzałych protokołów uwierzytelniania
- Śledzenie, czy dane logowania powiązane z ich organizacją nie zostały skradzione
- Wdrożenie polityk dostępu warunkowego
„Te ustalenia pokazują, że cyberprzestępcy wciąż znajdują i wykorzystują luki w procesach uwierzytelniania” – powiedział David Mound, badacz ds. cyberzagrożeń w SecurityScorecard. „Firmy nie mogą zakładać, że MFA wystarczy do ochrony. Zrozumienie niuansów logowań nieinteraktywnych jest kluczowe dla zamknięcia tych luk”.
Pokaż / Dodaj komentarze do: Uwaga na Microsoft 365. Hakerzy omijają zabezpieczenia