মূল বিষয়বস্তুতে যান
ইন্টেলিজেন্স ডাইজেস্ট

ডাবল ঝামেলা: মিডনাইট ব্লিজার্ড হ্যাকিং ফিয়াস্কোতে মাইক্রোসফ্ট এবং এইচপিইকে ঝাঁকুনি দেয়

সোলারউইন্ডসের ঘটনার পেছনে রাষ্ট্রীয় পৃষ্ঠপোষকতায় পরিচালিত হামলার শিকার হয়েছে উভয় প্রতিষ্ঠানই

২৬ ফেব্রুয়ারি ২০২৪

রডম্যান রামেজানিয়ান - এন্টারপ্রাইজ ক্লাউড সিকিউরিটি অ্যাডভাইজার

মাইক্রোসফ্ট এবং হিউলেট প্যাকার্ড এন্টারপ্রাইজ (এইচপিই) উভয়ই তাদের ক্লাউড-ভিত্তিক ইমেল অবকাঠামোর মাধ্যমে লঙ্ঘন করার সাম্প্রতিক প্রতিবেদনগুলি সাইবারসিকিউরিটি শিল্পকে ঝড় তুলেছে; সত্যি বলতে, একাধিক কারণে! যারা 2020 সালে সোলারউইন্ডস হ্যাকিংয়ের কথা স্মরণ করেন, তাদের জন্য এটি একই অভিনেতা বলে মনে হয়, এখন আরও সাধারণভাবে মিডনাইট ব্লিজার্ড (ওরফে কোজি বিয়ার, নোবেলিয়াম, এপিটি 29) হিসাবে পরিচিত।

যদিও এইচপিই এবং মাইক্রোসফ্ট উভয়ের লঙ্ঘন একে অপরের কয়েক দিনের মধ্যে প্রকাশিত হয়েছিল, পরিস্থিতি মূলত মিডনাইট ব্লিজার্ডের আন্তর্জাতিক গুপ্তচরবৃত্তির প্রচেষ্টার চলমান বাস্তবতাকে আন্ডারস্কোর করে - হুমকি গোষ্ঠীটিকে রাশিয়ান ফরেন ইন্টেলিজেন্স সার্ভিস (এসভিআর) এর সাথে দৃঢ়ভাবে যুক্ত করার প্রতিবেদন এবং সংস্থার ডিজিটাল পদচিহ্ন এবং সম্পদের মধ্যে দুর্বলতাগুলি কাজে লাগানোর ক্ষেত্রে তার অধ্যবসায়।

উভয় ঘটনা জুড়ে ধারাবাহিকতা ছিল যে মিডনাইট ব্লিজার্ড অপারেটররা যথাক্রমে পৃথক কর্মচারী মেলবক্স এবং পাসওয়ার্ড স্প্রে আক্রমণগুলির লক্ষ্যবস্তুর মাধ্যমে এইচপিই এবং মাইক্রোসফ্টের ক্লাউড-ভিত্তিক ইমেল পরিবেশে অ্যাক্সেস অর্জন করেছিল।

এইচপিই জানিয়েছে যে হ্যাকিং গ্রুপটি আপোস করা অ্যাকাউন্টগুলির মাধ্যমে অ্যাক্সেস পাওয়ার পরে এইচপিইর 365 মেলবক্সগুলির "সীমিত সংখ্যক" থেকে "ডেটা অ্যাক্সেস এবং বহিষ্কার" করেছে।
মাইক্রোসফ্টের ক্ষেত্রে, আক্রমণকারীরা মাইক্রোসফ্ট কর্পোরেট পরিবেশে উন্নত অ্যাক্সেসের সাথে একটি উত্তরাধিকার পরীক্ষা ওঅথ অ্যাপ্লিকেশন সনাক্ত এবং অনুপ্রবেশ করতে তাদের প্রাথমিক অ্যাক্সেস ব্যবহার করেছিল। এই অ্যাপ্লিকেশনটি কাজে লাগানোর ফলে তারা আরও বেশি দূষিত ওঅথ অ্যাপ্লিকেশন তৈরি করতে সক্ষম হয়েছিল, অবশেষে তাদের মাইক্রোসফ্ট 365 এক্সচেঞ্জ অনলাইন ভূমিকা দেওয়ার অনুমতি দেয়। এই কৌশলটি তাদের সিস্টেমের মধ্যে মেলবক্সগুলিতে অ্যাক্সেস পেতে দেয়।

হুমকিকে আরও বাড়িয়ে তুলতে, গ্রুপটি সেশন রিপ্লে আক্রমণগুলি নিয়োগ করতে দেখা গেছে, যা তাদের অবৈধ পদ্ধতি এবং অ্যাক্সেস ব্রোকারদের মাধ্যমে অর্জিত চুরি করা সেশনগুলি ব্যবহার করে ক্লাউড সংস্থানগুলিতে প্রাথমিক অ্যাক্সেস অর্জন করতে সক্ষম করে।

মাইক্রোসফ্টের পূর্ববর্তী গবেষণা এবং পাবলিক পোস্টগুলি ক্ষতিগ্রস্থদের নেটওয়ার্কগুলির মধ্যে ওঅথ অ্যাপ্লিকেশনগুলি শোষণ করার হুমকি অভিনেতাদের সম্পর্কে সতর্ক করে বিবেচনা করে, এই আক্রমণগুলি ভ্রু উত্থাপনের মতোই কৌতূহলজনক। 2022 সালে মাইক্রোসফ্টের একটি ব্লগ পোস্টে, সংস্থাটি এমন একটি আক্রমণের রূপরেখা তুলে ধরেছিল যেখানে হুমকিদাতারা মাল্টি-ফ্যাক্টর প্রমাণীকরণ (এমএফএ) সুরক্ষার অভাব থাকা কোনও সংস্থার ক্লাউড টেন্যান্ট অ্যাকাউন্টগুলির বিরুদ্ধে ক্রেডেনশিয়াল স্টাফিং নিযুক্ত করেছিল। পরবর্তীকালে, হুমকি অভিনেতা দূষিত ওঅথ অ্যাপ্লিকেশন তৈরি করতে ক্লাউড টেন্যান্ট অ্যাকাউন্টগুলিতে অ্যাক্সেস ব্যবহার করেছিলেন, তাদের ভুক্তভোগীর এক্সচেঞ্জ অনলাইন উদাহরণে প্রবেশের সুযোগ দিয়েছিলেন। হাস্যকরভাবে, এই উদাহরণে মাইক্রোসফ্টের বিরুদ্ধে যা ঘটেছিল তা থেকে এটি খুব বেশি দূরে ছিল না।

কেন এই ঘটনাগুলো ঘটছে?

মিডনাইট ব্লিজার্ডের ক্রিয়াকলাপ বিশ্লেষণ করে গ্রুপটির পরিশীলিততা প্রকাশ করে, কারণ তারা প্রমাণীকরণ প্রক্রিয়াগুলি বাইপাস করতে, তাদের লক্ষ্যগুলিতে অনুপ্রবেশ করতে এবং সনাক্তকরণকে এড়িয়ে যাওয়ার জন্য কাস্টম-ডিজাইন করা ম্যালওয়্যার এবং পরিবর্তিত সর্বজনীনভাবে অ্যাক্সেসযোগ্য সরঞ্জামগুলির মিশ্রণ নিয়োগ করে।

যদিও মাইক্রোসফ্ট আইটি অবকাঠামোতে তার উল্লেখযোগ্য আকার এবং প্রভাবের কারণে প্রায়শই লক্ষ্যবস্তুতে পরিণত হয়, তবে তাদের পণ্য এবং অভ্যন্তরীণ সিস্টেম উভয়ের উপর সাম্প্রতিক সফল আক্রমণ বৃদ্ধি পেয়েছে। এখানে পাসওয়ার্ড স্প্রে করার মতো ঘটনাগুলি মাল্টি-ফ্যাক্টর প্রমাণীকরণের মাধ্যমে প্রশমিত করা যেতে পারে - এমন একটি পদক্ষেপ যা স্পষ্টতই কার্যকর করা হয়নি। মাইক্রোসফ্ট এমএফএকে শক্তিশালী সাইবার স্বাস্থ্যবিধির একটি গুরুত্বপূর্ণ উপাদান হিসাবে সমর্থন করে। সিকিউরিটি ইকোসিস্টেমে তাদের অবস্থান বিবেচনায় তাদের উচ্চতর স্তরের জবাবদিহিতার আওতায় আনা জরুরি।

মাইক্রোসফটের নিজের ভাষায়, "এই আক্রমণটি মাইক্রোসফটের পণ্য বা সেবায় দুর্বলতার ফল ছিল না" এবং কেন এই ঘটনাটি ঘটেছে তা বোঝার প্রেক্ষাপটে এটি গুরুত্বপূর্ণ। দুর্ভাগ্যক্রমে মাইক্রোসফ্টের জন্য, এটি তাদের ক্লাউড পরিবেশ এবং অবকাঠামোগুলি সুরক্ষার জন্য কতটা খারাপভাবে কনফিগার করা হয়েছিল তা নেমে এসেছিল।

মাইক্রোসফ্ট 365 ইমেল অ্যাকাউন্ট টেকওভার আক্রমণগুলির শিকার হওয়া নতুন নয়, এবং এইচপিইর মতো শিল্প বিহেমথগুলি কীভাবে ক্লাউড ভেক্টর থেকে সফলভাবে লক্ষ্যবস্তু এবং অনুপ্রবেশ করতে পারে তার একটি দুর্দান্ত উদাহরণ।

রূঢ় বাস্তবতা হলো, আজকাল বড় বড় বহুজাতিক আইটি প্রতিষ্ঠানগুলোকে টার্গেট করা হলে অবাক হওয়ার কিছু নেই; বিশেষত যখন এটি বহিষ্কার এবং তথ্য চুরির সাথে জড়িত থাকে যেমনটি এই উভয় ঘটনাতেই হয়েছিল। তবে আরও উদ্বেগজনক প্রবণতা হ'ল এই সংস্থাগুলি তাদের ক্লাউড পরিবেশ এবং সম্পদের মাধ্যমে কতবার লক্ষ্যবস্তু হচ্ছে।

ক্লাউড কম্পিউটিং যেভাবে সমস্ত আকার এবং আকারের সংস্থাগুলির জন্য স্কেলাবিলিটি, নমনীয়তা, বৃদ্ধি এবং সহযোগিতাকে আমন্ত্রণ জানায়, এটি সাইবার অপরাধীদেরও প্রলুব্ধ করে - বিশেষত অত্যন্ত দক্ষ এবং অনুপ্রাণিত রাষ্ট্র-স্পনসরিত অভিনেতাদের - সুযোগগুলি সন্ধান করতে (এবং তাদের মধ্যে অনেকগুলি রয়েছে) যেখানে ফেডারেটেড অ্যাক্সেস টোকেনগুলি সোয়াইপ করা যেতে পারে, ক্লাউড সম্পদগুলি ভুল কনফিগার করা এবং দুর্বল হতে পারে, বা ইমেল ব্যবহারকারীরা কিছু চতুর সামাজিক প্রকৌশল কৌশল দিয়ে প্রভাবিত হতে পারে। ক্লাউড এনভায়রনমেন্ট এবং প্ল্যাটফর্মগুলির আন্তঃসংযুক্ত প্রকৃতির জন্য ধন্যবাদ, এই প্রচেষ্টাগুলির মধ্যে কেবল একটিতে সফল হওয়া আক্রমণকারীদের কাজ করার জন্য যথেষ্ট হতে পারে।

কি করা যায়?

এই ঘটনাগুলি প্রতিটি আকারের এবং সমস্ত সেক্টর জুড়ে সংস্থাগুলির জন্য শান্ত অনুস্মারক হিসাবে কাজ করা উচিত: সাইবার আক্রমণগুলি তাদের মর্যাদা নির্বিশেষে, এমনকি শিল্প জায়ান্টদের যে কাউকে লক্ষ্যবস্তু করতে পারে। সত্যটি হ'ল প্রতিটি এন্টারপ্রাইজ প্ল্যাটফর্ম, অবকাঠামো উপাদান এবং সহায়ক প্রযুক্তি সম্ভাব্য আক্রমণগুলির জন্য একটি প্রধান লক্ষ্য।

তবে, মৌলিক, অ-আলোচনাযোগ্য সুরক্ষা বৈশিষ্ট্য এবং প্রক্রিয়াগুলি রয়েছে যা মূল্যবান সম্পদগুলি রক্ষা করার জন্য সক্ষম এবং গ্রহণ করা দরকার, বা কমপক্ষে আক্রমণকারীদের কাজকে আরও কঠিন করে তুলতে। যেমনঃ

  • সম্ভাব্য সর্বত্র এমএফএ প্রয়োগ করা
  • যে কোনও সময় প্রত্যাহার করার ক্ষমতা সহ ওঅথ অ্যাপ্লিকেশন এবং টোকেনগুলি নিরীক্ষণ করা (বিশেষত "উত্তরাধিকার" হিসাবে পরিচিত)
  • সুরক্ষা ভঙ্গি পরিচালনা করা (কারণ সর্বদা কিছু মিস বা উপেক্ষা করা বাধ্য)
  • সন্দেহজনক অ্যাকাউন্ট আচরণ সনাক্ত করতে অসঙ্গতিগুলি পর্যবেক্ষণ করা (যেমন নতুন অ্যাপ্লিকেশন তৈরি, নতুন / বিশেষাধিকার প্রাপ্ত ভূমিকা নির্ধারণ, ডেটা বহিষ্কার)

আমাকে বিস্তারিত বলার অনুমতি দিন:

কনফিগারেশন অডিট এবং অঙ্গবিন্যাস মূল্যায়নগুলি ভুল কনফিগারেশনগুলি সনাক্ত করতে এবং সংশোধন করতে সহায়তা করতে পারে যেখানে এমএফএ প্রয়োগ করা হয়নি, মূল অ্যাজুরে সিকিউরিটি সেন্টার স্তরে (চিত্র 1) বলুন।

চিত্র 1. Configuration Audits for Microsoft Azure—Skyhigh Security

আক্রমণকারীরা ব্রোকার অ্যাক্সেস এবং বিশেষাধিকারগুলি এমন একটি বিন্দুতে উন্নীত করতে সহায়তা করার জন্য একটি দূষিত ওঅথ অ্যাপ্লিকেশনটি ব্যবহার করেছিল যেখানে তারা কর্পোরেট মাইক্রোসফ্ট ভাড়াটে যা তাদের নির্বাহীদের ইমেলগুলি রেখেছিল। সুরক্ষা দলগুলিকে অবশ্যই ব্যবহারকারীর ডেটাতে অ্যাক্সেস রয়েছে এমন সংযুক্ত ওঅথ অ্যাপ্লিকেশনগুলির "প্রতিকার, নিরীক্ষণ, অনুমতি বা ব্লক" করতে সক্ষম হতে হবে।

এম 365 এর মধ্যে তারা কীভাবে কর্পোরেট ডেটার সাথে ইন্টারঅ্যাক্ট করতে পারে তার উপর অ্যাপ্লিকেশন প্রশাসন এবং নিয়ন্ত্রণ বজায় রাখা গুরুত্বপূর্ণ (চিত্র 2)।

চিত্র 2. ক্লাউড কানেক্টেড অ্যাপস-Skyhigh Security

পরিচয় (এন্ট্রা আইডি) এবং এম 365 আচরণের বিষয়ে, সুরক্ষা দলগুলির তাদের মাইক্রোসফ্ট 365 পরিবেশ জুড়ে অসঙ্গতি এবং সন্দেহজনক আচরণগুলি সনাক্ত, হাইলাইট এবং প্রতিরোধ করার পাশাপাশি তাদের সুরক্ষা ভূমিকা এবং অনুমতিগুলি সনাক্ত করার ক্ষমতা প্রয়োজন।

চিত্র 3. অসঙ্গতি-Skyhigh Security



তথ্যসূত্র:

ব্যবহার Skyhigh Security?

রডম্যান রামেজানিয়ান

লেখক সম্পর্কে

রডম্যান রামেজানিয়ান

এন্টারপ্রাইজ ক্লাউড নিরাপত্তা উপদেষ্টা

11 বছরেরও বেশি বিস্তৃত সাইবার সিকিউরিটি শিল্পের অভিজ্ঞতার সাথে, রডম্যান রামেজানিয়ান একটি এন্টারপ্রাইজ ক্লাউড সিকিউরিটি অ্যাডভাইজার, প্রযুক্তিগত উপদেষ্টা, সক্রিয়করণ, সমাধান ডিজাইন এবং আর্কিটেকচারের জন্য দায়ী Skyhigh Security. এই ভূমিকায়, রডম্যান প্রাথমিকভাবে অস্ট্রেলিয়ান ফেডারেল সরকার, প্রতিরক্ষা এবং এন্টারপ্রাইজ সংস্থাগুলিতে মনোনিবেশ করে।

রডম্যান অ্যাডভারসারিয়াল থ্রেট ইন্টেলিজেন্স, সাইবার ক্রাইম, ডেটা প্রোটেকশন এবং ক্লাউড সিকিউরিটির ক্ষেত্রে বিশেষজ্ঞ। তিনি একজন অস্ট্রেলিয়ান সিগন্যাল ডিরেক্টরেট (এএসডি) -অনুমোদিত আইআরএপি মূল্যায়নকারী - বর্তমানে সিআইএসএসপি, সিসিএসপি, সিআইএসএ, সিডিপিএসই, মাইক্রোসফ্ট অ্যাজুরে এবং এমআইটিআরই এটিটি এবং সিটিআই সার্টিফিকেশন ধারণ করছেন।

স্পষ্টতই, রডম্যানের সহজ শর্তে জটিল বিষয়গুলি স্পষ্ট করার জন্য একটি দৃঢ় আবেগ রয়েছে, গড় ব্যক্তি এবং নতুন সুরক্ষা পেশাদারদের সাইবারসিকিউরিটি কী, কেন এবং কীভাবে বুঝতে সহায়তা করে।

অ্যাটাক হাইলাইটস

  • হিউলেট প্যাকার্ড এন্টারপ্রাইজ (এইচপিই) প্রকাশ করেছে যে মিডনাইট ব্লিজার্ড নামে চিহ্নিত সন্দেহভাজন রাশিয়ান হ্যাকারদের একটি দল তার সাইবার সিকিউরিটি টিম এবং অন্যান্য বিভাগ থেকে ডেটা বের করতে কোম্পানির মাইক্রোসফ্ট 365 ইমেল সিস্টেমে অনুপ্রবেশ করেছিল।
  • এইচপিই থেকে প্রাথমিক অনুসন্ধানগুলি 2023 সালের মে মাসে পূর্ববর্তী ঘটনার সাথে সম্ভাব্য সংযোগের পরামর্শ দেয়, যার সময় হুমকিদাতারা কোম্পানির শেয়ারপয়েন্ট সার্ভারে অনুপ্রবেশ করেছিল এবং ফাইলগুলি বের করেছিল বলে জানা গেছে।
  • মাইক্রোসফ্টকে লক্ষ্য করে নভেম্বর 2023 ঘটনার সময়, হুমকি অভিনেতা এমএফএর অভাবযুক্ত একটি উত্তরাধিকার, অ-উত্পাদন পরীক্ষা ভাড়াটে অ্যাকাউন্টে কার্যকরভাবে প্রবেশ করতে একটি পাসওয়ার্ড স্প্রে আক্রমণ ব্যবহার করেছিলেন। এটি আক্রমণকারীদের একটি মূল্যবান পাদদেশ দিয়েছে।
  • আক্রমণকারীরা মাইক্রোসফ্ট কর্পোরেট পরিবেশে উন্নত অ্যাক্সেস সহ একটি উত্তরাধিকার পরীক্ষা ওঅথ অ্যাপ্লিকেশনটি সনাক্ত করতে এবং অনুপ্রবেশ করতে তাদের প্রাথমিক অ্যাক্সেস ব্যবহার করতে এগিয়ে যায়।
  • এই উত্তরাধিকার অ্যাপ্লিকেশনটি অতিরিক্ত দূষিত ওঅথ অ্যাপ্লিকেশন তৈরি করার জন্য অস্ত্র করা হয়েছিল, তাদের মাইক্রোসফ্ট 365 এক্সচেঞ্জ অনলাইন সম্পূর্ণ অ্যাক্সেস ভূমিকা প্রদান করে, যার ফলে মাইক্রোসফ্টের মেলবক্সগুলিতে অ্যাক্সেস অর্জন করে।
  • পরবর্তীকালে, হুমকি গোষ্ঠীটি মাইক্রোসফ্ট কর্পোরেট ইমেল অ্যাকাউন্টগুলির একটি নির্বাচিত অংশ অ্যাক্সেস করতে অ্যাকাউন্টের বিশেষাধিকার ব্যবহার করেছিল, মাইক্রোসফ্টের সিনিয়র নেতৃত্বের দলের সদস্যদের পাশাপাশি তাদের সাইবার সুরক্ষা, আইনী এবং অন্যান্য বিভাগের কর্মীদের অন্তর্ভুক্ত করে। এটি মিডনাইট ব্লিজার্ড অপারেটরদের কিছু ইমেল এবং সংযুক্ত নথি বের করার অনুমতি দেয়।
  • মাইক্রোসফটের পক্ষ থেকে বলা হয়, মাইক্রোসফটের পণ্য ও সেবায় দুর্বলতার কারণে এই হামলা চালানো হয়নি।