Szerző: Dömös Zsuzsanna

2024. március 11. 10:45

Forráskódokhoz is hozzáfértek a Microsofthoz betörő orosz hackerek

Folyamatos támadás alatt áll a redmondi szoftvercég a frissített bejelentés alapján, ráadásul a januárban nyilvánosságra hozott támadás a véltnél kiterjedtebb.

Az év elején vált nyilvánossá, hogy tavaly novembertől kezdve egy Kremlhez köthető hackercsoportnak sikerült hozzáférnie a Microsoft egyes vezetőinek levelezéseihez, és mivel a cég egészen január 12-ig nem észlelte a jogsértést, így az orosz hackerek két hónapig zavartalanul hozzáférhettek a kompromittált fiókokhoz.

Az amerikai Értékpapír- és Tőzsdefelügyelethez benyújtott frissített bejelentésben a redmondi cég további részleteket közölt a biztonsági incidenssel kapcsolatban. A Microsoft most megerősítette, hogy az orosz kiberkémek forráskódokat is loptak, valamint hozzáférhettek a belső rendszerekhez. Időben is kiterjedtebb a támadássorozat, mivel a behatolási próbálkozások folyamatosak, tehát még mindig aktív a művelet. 

A Cozy Bear (továbbá APT29, Nobelium, vagy Midnight Blizzard) néven ismert, többek közt a SolarWinds támadásokért is felelős kiberbűnözői csoport által indított legutóbbi támadás a redmondiak szerint a vállalati e-mail-fiókok csak „nagyon kis százalékát” érintette, de az orosz feleknek sikerült belső üzeneteket és fájlokat lopniuk a vezetőktől, valamint a kiberbiztonsági és jogi részlegeken dolgozó alkalmazottak egy részétől is.

cozybear

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak

Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

A Microsoft januárban úgy fogalmazott, hogy a hackerek tudomása szerint nem fértek hozzá az ügyfélkörnyezetekhez, termelési rendszerekhez, forráskódokhoz vagy MI-rendszerekhez, ami utólag értékelve már nem igaz. Az újabb vizsgálatok során kiderült, hogy a kiberbűnözők a vállalati e-mail rendszeren keresztül szerzett érzékeny információkat használták fel arra, hogy további jogosulatlan hozzáférést szerezhessenek a rendszer további részeibe, többek közt a vállalat néhány forráskód repository-jához és belsős rendszeréhez. A Microsoft fenntartja, hogy egyelőre "nincs bizonyíték" arra vonatkozóan, hogy az orosz bűnözők kompromittálták az ügyfeleknek szánt rendszereket.

A hackercsoportnak jelszószórással (password spray) sikerült feltörnie egy régi tesztelői fiókot, majd annak jogosultságait kihasználva fért hozzá vállalati e-mail-fiókok „kis százalékához”, érintve a felsővezetői csapatot és a kiberbiztonsági, jogi és egyéb feladatokat ellátó alkalmazottakat. Ez egyben arra utal, hogy a gyenge jelszón felül a fiókot kétfaktoros hitelesítés (2FA) sem védte. Továbbá az „örökölt, nem gyártási tesztbérlői fiókot” valahogy úgy konfigurálták, hogy a kezelője a legérzékenyebb alkalmazotti fiókokhoz férjenek hozzá, tehát meglepően sok jogosultsággal rendelkezett. Egy másik felmerülő kérdés, hogy a fiókot a tesztelési feladatok végén miért nem törölték. 

Adam Meyers, a CrowdStrike műveleti főnöke szerint az eset arra mutat rá, hogy a Microsoft nemzetbiztonsági fenyegetésnek tekinthető, az Azure szolgáltatásnak pedig szélesebb körű hitelesítési problémái vannak. Korábban Oroszország mellett Kína állami hackerei is célba vették a szoftveróriást, és a közelgő választások fényében még kockázatosabb, ha ellenséges nemzetállamok férnek hozzá a Microsoft érzékeny adataihoz.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról