Se descubren los ciberataques de 'Midnight Blizzard': la batalla de Microsoft contra las ciberamenazas patrocinadas por el estado
Microsoft reveló recientemente una violación preocupante perpetrada por un grupo de piratería patrocinado por el estado ruso conocido como Midnight Blizzard. Los atacantes emplearon tácticas sofisticadas, incluida la creación de aplicaciones OAuth maliciosas, la manipulación de cuentas de usuarios y el uso de redes proxy residenciales para ocultar sus actividades. Esta violación subraya la importancia de medidas de seguridad sólidas para las organizaciones.
Tabla de contenido
Salen a la luz las asociaciones Midnight Blizzard y Cozy Bear
A finales de noviembre de 2023, Microsoft fue víctima de un ciberataque orquestado por Midnight Blizzard, también conocido como Cozy Bear. Los piratas informáticos utilizaron ataques de pulverización de contraseñas para comprometer cuentas de correo electrónico, dirigiéndose a altos ejecutivos y empleados de equipos legales y de ciberseguridad. Un análisis más detallado reveló que los atacantes explotaron una aplicación OAuth de prueba heredada con acceso privilegiado al entorno de TI corporativo de Microsoft. OAuth, un estándar para la autenticación basada en tokens, fue manipulado por los piratas informáticos que crearon aplicaciones OAuth maliciosas adicionales.
Las tácticas de Midnight Blizzard se extendieron a la creación de una nueva cuenta de usuario, otorgando a sus aplicaciones OAuth maliciosas acceso a los buzones de correo de Office 365 Exchange. Este acceso les permitió descargar correos electrónicos y archivos para medir el conocimiento de Microsoft sobre sus actividades. Para enmascarar su origen, los atacantes utilizaron redes proxy residenciales, enrutando el tráfico a través de numerosas direcciones IP utilizadas por usuarios legítimos.
Cómo contrarrestar las filtraciones de datos y los ciberataques
Para contrarrestar tales amenazas, Microsoft recomienda a las organizaciones que realicen auditorías de los privilegios de los usuarios y servicios, centrándose particularmente en identidades no identificadas y aplicaciones con altos privilegios. Aconsejan examinar las identidades con privilegios de ApplicationImpersonation en Exchange Online, ya que las configuraciones incorrectas pueden permitir el acceso no autorizado a los buzones de correo empresariales. También se recomiendan políticas de detección de anomalías y controles de aplicaciones de acceso condicional para usuarios en dispositivos no administrados.
El impacto de las actividades de Midnight Blizzard se extiende más allá de Microsoft, como lo demuestra la divulgación por parte de Hewlett Packard Enterprise (HPE) de un ataque similar a su sistema de correo electrónico basado en la nube en mayo de 2023. Este incidente, vinculado a un intento de piratería anterior, resultó en el robo de datos de Buzones de correo HPE y acceso a archivos de SharePoint.
En respuesta a estas infracciones, las organizaciones deben permanecer alerta e implementar medidas de seguridad sólidas para mitigar los riesgos que plantean los grupos de piratería patrocinados por el estado como Midnight Blizzard.
Se descubren los ciberataques de 'Midnight Blizzard': la batalla de Microsoft contra las ciberamenazas patrocinadas por el estado capturas de pantalla
