مايكروسوفت تكشف كيف تجسس المتسللون الروس على مديريها التنفيذيين

مايكروسوفت - أرشيفية

كتبت سماح لبيب

السبت، 27 يناير 2024 12:14 م

أكدت شركة مايكروسوفت، أنها اكتشفت هجوم دولة قومية على أنظمة الشركة من قبل المتسللين الذين ترعاهم الدولة الروسية والذين كانوا وراء هجوم SolarWinds ، وتمكن المتسللون من الوصول إلى حسابات البريد الإلكتروني لبعض أعضاء فريق القيادة العليا في Microsoft، ومن المحتمل أن يتجسسوا عليهم لمدة أسابيع أو أشهر، وفقا لتقرير ذا فيرج .

في حين أن مايكروسوفت لم تقدم الكثير من التفاصيل حول كيفية حصول المهاجمين على الوصول في كشفها الأولي لهيئة الأوراق المالية والبورصة، فقد نشرت شركة تصنيع البرامج الآن تحليلًا أوليًا لكيفية تجاوز المتسللين لأمنها.

كما أنه يحذر من أن نفس مجموعة القرصنة، المعروفة باسم نوبليوم أو باسم "Midnight Blizzard"، كانت تستهدف منظمات أخرى.

وتمكن نوبليوم في البداية من الوصول إلى أنظمة مايكروسوفت من خلال هجوم رش كلمة المرور، هذا النوع من الهجوم هو هجوم قوي حيث يستخدم المتسللون قاموسًا لكلمات المرور المحتملة ضد الحسابات.

كما أن حساب المستأجر غير الإنتاجي الذي تم اختراقه لم يتم تمكين المصادقة الثنائية عليه، وتقول مايكروسوفت إن شركة نوبليوم "صممت هجمات رش كلمات المرور الخاصة بها لتتناسب مع عدد محدود من الحسابات، وذلك باستخدام عدد قليل من المحاولات لتجنب الكشف".

استفادت المجموعة من وصولها الأولي لتحديد واختراق تطبيق OAuth القديم للاختبار والذي كان يتمتع بوصول مرتفع إلى بيئة شركة Microsoft.

ويعد OAuth هو معيار مفتوح يستخدم على نطاق واسع للمصادقة المستندة إلى الرمز المميز، يتم استخدامه بشكل شائع عبر الويب للسماح لك بتسجيل الدخول إلى التطبيقات والخدمات دون الحاجة إلى توفير موقع ويب بكلمة المرور الخاصة بك.

سمح هذا الوصول المرتفع للمجموعة بإنشاء المزيد من تطبيقات OAuth الضارة وإنشاء حسابات للوصول إلى بيئة شركة Microsoft وفي النهاية خدمة Office 365 Exchange Online التي توفر الوصول إلى صناديق البريد الإلكتروني الواردة.

يوضح فريق الأمان في Microsoft: "لقد استفادت Midnight Blizzard من تطبيقات OAuth الضارة هذه للمصادقة على Microsoft Exchange Online واستهداف حسابات البريد الإلكتروني الخاصة بشركة Microsoft".

ولم تكشف Microsoft عن عدد حسابات البريد الإلكتروني الخاصة بشركتها التي تم استهدافها والوصول إليها، لكن الشركة وصفت ذلك سابقًا بأنه "نسبة صغيرة جدًا من حسابات البريد الإلكتروني لشركة Microsoft، بما في ذلك أعضاء فريق القيادة العليا لدينا والموظفين في مجال الأمن السيبراني والشؤون القانونية والمالية لدينا، وغيرها من الوظائف."

ولم تكشف Microsoft أيضًا عن جدول زمني محدد لمدة تجسس المتسللين على فريق القيادة العليا والموظفين الآخرين، ووقع الهجوم الأولي في أواخر نوفمبر 2023، لكن مايكروسوفت اكتشفته فقط في 12 يناير، وقد يعني ذلك أن المهاجمين كانوا يتجسسون على المديرين التنفيذيين لشركة Microsoft لمدة شهرين تقريبًا.