Джек М. Жермен
6 июля 2021 года, 4:00 утра по тихоокеанскому времени
Работа с кибербезопасностью — это непрекращающаяся битва сообразительности и навыков, из-за которой ИТ-специалисты часто чувствуют, что они едва сдерживают бесконечные атаки гигантской защитной азартной игры.
Возьмем дело Microsoft и печально известного взлома цепочки поставок SolarWinds, о котором впервые было сообщено в декабре прошлого года. Его разветвления до сих пор полностью не изучены, в то время как потенциальный ущерб продолжает расти в сотнях скомпрометированных деловых и правительственных сетей.
SolarWinds — крупная американская компания, занимающаяся информационными технологиями, чья компьютерная сеть была взломана в результате серии кибератак, которые распространились на ее клиентов и оставались незамеченными в течение нескольких месяцев. Microsoft недавно сообщила, что она, без сомнения, тоже была жертвой той же банды хакеров, базирующейся в России, ответственной за натиск SolarWinds.
По мере того, как становятся известны некоторые подробности, связанные с кибератакой, мрачное раскрытие информации может оправданно вызвать хриплый вздох, указывающий на то, что если Microsoft может быть взломана, какая надежда остается для всех остальных?
Microsoft признала, что злоумышленник Предполагается, что в конце мая он был связан с Nobelium, используя фишинг для одного из его агентов по обслуживанию клиентов, чтобы украсть информацию, а затем использовал ее для попыток взлома клиентов. Microsoft заявила, что обнаружила компромисс во время своей реакции на взломы группы, ответственной за более ранние серьезные взломы в SolarWinds и Microsoft.
По иронии судьбы, хакеры из национального государства, организовавшие атаку цепочки поставок SolarWinds, взломали компьютер рабочего Microsoft.
В последующих заявлениях о продолжающейся борьбе с кибербезопасностью президент Microsoft Брэд Смит назвал SolarWinds «самой крупной и самой сложной атакой, которую когда-либо видел мир», согласно опубликованным отчетам. За атакой стояло более тысячи хакеров.
Бывший генеральный директор SolarWinds Кевин Томпсон предположил, что успешное нарушение могло произойти из-за того, что стажер создал «solarwinds123» в качестве пароля, а затем поделился этим паролем на GitHub.
Конечно, именно так должны работать фишинговые атаки. Злоумышленники рассредоточивают свои тактики и надеются, что они будут оставаться в секрете как можно дольше. Обычно крупномасштабные атаки, такие как SolarWinds, проводятся по нескольким векторам атак.
«Мы вступаем в эру кибервойн низкой интенсивности и высокой отдачи. За последние два десятилетия противники разработали сложные возможности для запуска и доставки кибероружия по национальным государствам и отраслям, но теперь злоумышленники могут использовать новое гипер — объединенный мир в их пользу », — сказал TechNewsWorld Ом Мулчандани, директор по информационной безопасности Accurics.
Содержание статьи
Urban Warfare Gone Digital
Кибератакам больше не нужно разрабатывать чрезвычайно сложные векторы атак. Он отметил, что они могут использовать существующие возможности подключения для проникновения в жертву. Он сравнил новую доктрину кибератак с сегодняшними стратегиями физической войны. Интенсивность низкая, атаки ограничены, но удары чрезвычайно высоки.
«Противники смешиваются и прячутся между некомбатантами в городских войнах, точно так же, как кибератаки теперь используют персонал службы поддержки, чтобы скрыть свою тактику», — заметил Мулчандани.
25 июня Центр аналитики угроз Microsoft сообщил, что Nobelium начал новую атаку, которая включает в себя спрей паролей и атаки методом перебора. Но, по мнению Microsoft, эта тактика в значительной степени не увенчалась успехом.
Если атака Nobelium на инфраструктуру Microsoft была «в основном безуспешной», то мы можем предположить, что она была «частично успешной», — возражает Нил Джонс, проповедник кибербезопасности в Egnyte.
«Это классический пример постоянной потребности в усилении защиты паролей, внедрении эффективных методов многофакторной аутентификации (MFA) и максимальном использовании методов управления паролями», — сказал он TechNewsWorld.
Эти требования критически важны для систем, которые используются для взаимодействия с вашими клиентами и сбора их данных, — добавил он.
«Последняя атака также является ярким напоминанием о том, что вам нужно сделать управление данными приоритетом на уровне совета директоров, если вы еще этого не сделали», — сказал Джонс.
Подробнее Emerge
В ходе расследования Центра угроз также было обнаружено вредоносное ПО для кражи информации на машине, принадлежащей одному из агентов службы поддержки Microsoft, с доступом к основной информации об учетных записях небольшого числа наших клиентов, Согласно отчету Центра от 25 июня.
«В некоторых случаях субъект использовал эту информацию для проведения целенаправленных атак в рамках своей более широкой кампании. Мы быстро отреагировали, удалили доступ и обезопасили устройство», — отмечается в отчете.
Агенты поддержки Microsoft настроены с минимальным набором разрешений, необходимых как часть подхода компании к информации о клиентах с нулевым доверием и «наименее привилегированным доступом», поясняется в заявлении.
Эта информация подчеркивает важность передовых мер безопасности, таких как архитектура с нулевым доверием и многофакторная аутентификация, для предотвращения сетевых вторжений, согласно Microsoft.
«Поскольку злоумышленник уже осуществлял точные атаки на клиентов, информация которых была скомпрометирована, это указывает на то, что атакующие агенты службы поддержки, вероятно, были частью кампании с более крупной миссией», — добавил Мулчандани.
Намерения злоумышленника
Похищенная информация может раскрывать шаблоны клиентов для использования, ведения журналов или субъектов услуг, предоставляемых поставщиком ИТ-услуг, или другие соответствующие данные, которые могут быть использованы для подделки удостоверение личности жертвы, — отметил Мулчандани.
«Агентам службы поддержки требуются секреты клиентов для их идентификации. В случае кражи эта информация может быть использована злоумышленниками для подделки идентификаторов электронной почты жертвы и получения доступа к корпоративным учетным записям», — пояснил он.
Атака на ИТ-компании отражает то, что злоумышленники хотят получить доступ к своим конечным целям, используя механизмы цепочки поставок. Большинство ИТ-компаний предоставляют магистральные услуги крупным предприятиям, предприятиям, правительствам и отраслям.
«ИТ-компании в значительной степени сосредоточены на успехе клиентов и требуют конфиденциальной информации, привилегий и доступа для предоставления этих услуг. У них есть много интересной информации, привлекательной для злоумышленников, и любое отсутствие передовых методов кибербезопасности, таких как нулевое доверие, "усиление защиты или многофакторная аутентификация могут привести к компрометации данных клиента", — сказал Мулчандани.
Основные цели агентов поддержки
Злоумышленники постоянно ищут недорогие варианты выполнения своих задач. По словам Мулчандани, для них проще и экономичнее нацелить агентов поддержки, работающих на небольшие ИТ-компании, предоставляющие услуги поддержки для крупных предприятий, чем напрямую нацеливаться на эти крупные организации
.
«Персоналу поддержки обычно предоставляется минимальный доступ к системам для своих нужд, но организации все еще усердно работают над расширением осведомленности о кибербезопасности на рядовых уровнях, и эта зрелость все еще должна достигнуть точки, когда каждый сотрудник осознает риски. Это слабость, которую злоумышленники хотят использовать », — пояснил он.
Последние публикации показывают, что простого добавления средств защиты паролем недостаточно. Как предупредил Ральф Пизани, президент Exabeam
мониторинг сложного поведения учетных данных и прав в режиме почти в реальном времени является столь же важным и обязательным для групп реагирования, поскольку эти превентивные меры всегда будут давать сбой.
«Несмотря на то, что Nobelium хорошо известен в сообществе безопасности благодаря атаке SolarWinds и другим прошлым успехам, они продолжают осваивать новые точки опоры и, похоже, не уходят в ближайшее время», — сказал он TechNewsWorld.
Необходимы лучшие планы
В этом случае с Microsoft злоумышленники смогли использовать зараженную машину, чтобы собрать больше информации о клиентах. Эта информация позволяет злоумышленникам создавать узконаправленные фишинговые электронные письма на тему своих учетных записей и платежей, чтобы получить больший доступ и учетные данные, отметил Пизани.
«В рамках набора вторжений Microsoft стала свидетелем как атак с использованием паролей, так и атак грубой силы на учетные записи и клиентов. Мы должны принять идею о том, что личность — это новый периметр. Мы знаем, что скомпрометированный сотрудник сыграл свою роль в этом наиболее недавний инцидент ", — добавил он.
Службы безопасности видели, как кибервраги снова и снова запускают одну и ту же игру. «Таким образом, защита начинается с обнаружения, сортировки, расследования и реагирования», — убеждал Пизани.
«В то время как все большее внимание уделяется рассмотрению двух сторон — обнаружения и реагирования, большинство компаний борются или упускают из виду средние части, не осознавая дымовую завесу, которую она обеспечивает для злоумышленников», — предупредил Пизани.
Команды Центра управления безопасностью нуждаются в более комплексном подходе к безопасности, основанном на результатах, — убеждал он. Помимо паролей, критически важным результатом является защита личности ваших сотрудников, клиентов, партнеров и всех, кто находится в ваших ИТ-системах. 
