মাইক্রোসফ্ট এবং হিউলেট প্যাকার্ড এন্টারপ্রাইজ (এইচপিই) উভয়ই তাদের ক্লাউড-ভিত্তিক ইমেল অবকাঠামোর মাধ্যমে লঙ্ঘন করার সাম্প্রতিক প্রতিবেদনগুলি সাইবারসিকিউরিটি শিল্পকে ঝড় তুলেছে; সত্যি বলতে, একাধিক কারণে! যারা 2020 সালে সোলারউইন্ডস হ্যাকিংয়ের কথা স্মরণ করেন, তাদের জন্য এটি একই অভিনেতা বলে মনে হয়, এখন আরও সাধারণভাবে মিডনাইট ব্লিজার্ড (ওরফে কোজি বিয়ার, নোবেলিয়াম, এপিটি 29) হিসাবে পরিচিত।
যদিও এইচপিই এবং মাইক্রোসফ্ট উভয়ের লঙ্ঘন একে অপরের কয়েক দিনের মধ্যে প্রকাশিত হয়েছিল, পরিস্থিতি মূলত মিডনাইট ব্লিজার্ডের আন্তর্জাতিক গুপ্তচরবৃত্তির প্রচেষ্টার চলমান বাস্তবতাকে আন্ডারস্কোর করে - হুমকি গোষ্ঠীটিকে রাশিয়ান ফরেন ইন্টেলিজেন্স সার্ভিস (এসভিআর) এর সাথে দৃঢ়ভাবে যুক্ত করার প্রতিবেদন এবং সংস্থার ডিজিটাল পদচিহ্ন এবং সম্পদের মধ্যে দুর্বলতাগুলি কাজে লাগানোর ক্ষেত্রে তার অধ্যবসায়।
উভয় ঘটনা জুড়ে ধারাবাহিকতা ছিল যে মিডনাইট ব্লিজার্ড অপারেটররা যথাক্রমে পৃথক কর্মচারী মেলবক্স এবং পাসওয়ার্ড স্প্রে আক্রমণগুলির লক্ষ্যবস্তুর মাধ্যমে এইচপিই এবং মাইক্রোসফ্টের ক্লাউড-ভিত্তিক ইমেল পরিবেশে অ্যাক্সেস অর্জন করেছিল।
এইচপিই জানিয়েছে যে হ্যাকিং গ্রুপটি আপোস করা অ্যাকাউন্টগুলির মাধ্যমে অ্যাক্সেস পাওয়ার পরে এইচপিইর 365 মেলবক্সগুলির "সীমিত সংখ্যক" থেকে "ডেটা অ্যাক্সেস এবং বহিষ্কার" করেছে।
মাইক্রোসফ্টের ক্ষেত্রে, আক্রমণকারীরা মাইক্রোসফ্ট কর্পোরেট পরিবেশে উন্নত অ্যাক্সেসের সাথে একটি উত্তরাধিকার পরীক্ষা ওঅথ অ্যাপ্লিকেশন সনাক্ত এবং অনুপ্রবেশ করতে তাদের প্রাথমিক অ্যাক্সেস ব্যবহার করেছিল। এই অ্যাপ্লিকেশনটি কাজে লাগানোর ফলে তারা আরও বেশি দূষিত ওঅথ অ্যাপ্লিকেশন তৈরি করতে সক্ষম হয়েছিল, অবশেষে তাদের মাইক্রোসফ্ট 365 এক্সচেঞ্জ অনলাইন ভূমিকা দেওয়ার অনুমতি দেয়। এই কৌশলটি তাদের সিস্টেমের মধ্যে মেলবক্সগুলিতে অ্যাক্সেস পেতে দেয়।
হুমকিকে আরও বাড়িয়ে তুলতে, গ্রুপটি সেশন রিপ্লে আক্রমণগুলি নিয়োগ করতে দেখা গেছে, যা তাদের অবৈধ পদ্ধতি এবং অ্যাক্সেস ব্রোকারদের মাধ্যমে অর্জিত চুরি করা সেশনগুলি ব্যবহার করে ক্লাউড সংস্থানগুলিতে প্রাথমিক অ্যাক্সেস অর্জন করতে সক্ষম করে।
মাইক্রোসফ্টের পূর্ববর্তী গবেষণা এবং পাবলিক পোস্টগুলি ক্ষতিগ্রস্থদের নেটওয়ার্কগুলির মধ্যে ওঅথ অ্যাপ্লিকেশনগুলি শোষণ করার হুমকি অভিনেতাদের সম্পর্কে সতর্ক করে বিবেচনা করে, এই আক্রমণগুলি ভ্রু উত্থাপনের মতোই কৌতূহলজনক। 2022 সালে মাইক্রোসফ্টের একটি ব্লগ পোস্টে, সংস্থাটি এমন একটি আক্রমণের রূপরেখা তুলে ধরেছিল যেখানে হুমকিদাতারা মাল্টি-ফ্যাক্টর প্রমাণীকরণ (এমএফএ) সুরক্ষার অভাব থাকা কোনও সংস্থার ক্লাউড টেন্যান্ট অ্যাকাউন্টগুলির বিরুদ্ধে ক্রেডেনশিয়াল স্টাফিং নিযুক্ত করেছিল। পরবর্তীকালে, হুমকি অভিনেতা দূষিত ওঅথ অ্যাপ্লিকেশন তৈরি করতে ক্লাউড টেন্যান্ট অ্যাকাউন্টগুলিতে অ্যাক্সেস ব্যবহার করেছিলেন, তাদের ভুক্তভোগীর এক্সচেঞ্জ অনলাইন উদাহরণে প্রবেশের সুযোগ দিয়েছিলেন। হাস্যকরভাবে, এই উদাহরণে মাইক্রোসফ্টের বিরুদ্ধে যা ঘটেছিল তা থেকে এটি খুব বেশি দূরে ছিল না।
কেন এই ঘটনাগুলো ঘটছে?
মিডনাইট ব্লিজার্ডের ক্রিয়াকলাপ বিশ্লেষণ করে গ্রুপটির পরিশীলিততা প্রকাশ করে, কারণ তারা প্রমাণীকরণ প্রক্রিয়াগুলি বাইপাস করতে, তাদের লক্ষ্যগুলিতে অনুপ্রবেশ করতে এবং সনাক্তকরণকে এড়িয়ে যাওয়ার জন্য কাস্টম-ডিজাইন করা ম্যালওয়্যার এবং পরিবর্তিত সর্বজনীনভাবে অ্যাক্সেসযোগ্য সরঞ্জামগুলির মিশ্রণ নিয়োগ করে।
যদিও মাইক্রোসফ্ট আইটি অবকাঠামোতে তার উল্লেখযোগ্য আকার এবং প্রভাবের কারণে প্রায়শই লক্ষ্যবস্তুতে পরিণত হয়, তবে তাদের পণ্য এবং অভ্যন্তরীণ সিস্টেম উভয়ের উপর সাম্প্রতিক সফল আক্রমণ বৃদ্ধি পেয়েছে। এখানে পাসওয়ার্ড স্প্রে করার মতো ঘটনাগুলি মাল্টি-ফ্যাক্টর প্রমাণীকরণের মাধ্যমে প্রশমিত করা যেতে পারে - এমন একটি পদক্ষেপ যা স্পষ্টতই কার্যকর করা হয়নি। মাইক্রোসফ্ট এমএফএকে শক্তিশালী সাইবার স্বাস্থ্যবিধির একটি গুরুত্বপূর্ণ উপাদান হিসাবে সমর্থন করে। সিকিউরিটি ইকোসিস্টেমে তাদের অবস্থান বিবেচনায় তাদের উচ্চতর স্তরের জবাবদিহিতার আওতায় আনা জরুরি।
মাইক্রোসফটের নিজের ভাষায়, "এই আক্রমণটি মাইক্রোসফটের পণ্য বা সেবায় দুর্বলতার ফল ছিল না" এবং কেন এই ঘটনাটি ঘটেছে তা বোঝার প্রেক্ষাপটে এটি গুরুত্বপূর্ণ। দুর্ভাগ্যক্রমে মাইক্রোসফ্টের জন্য, এটি তাদের ক্লাউড পরিবেশ এবং অবকাঠামোগুলি সুরক্ষার জন্য কতটা খারাপভাবে কনফিগার করা হয়েছিল তা নেমে এসেছিল।
মাইক্রোসফ্ট 365 ইমেল অ্যাকাউন্ট টেকওভার আক্রমণগুলির শিকার হওয়া নতুন নয়, এবং এইচপিইর মতো শিল্প বিহেমথগুলি কীভাবে ক্লাউড ভেক্টর থেকে সফলভাবে লক্ষ্যবস্তু এবং অনুপ্রবেশ করতে পারে তার একটি দুর্দান্ত উদাহরণ।
রূঢ় বাস্তবতা হলো, আজকাল বড় বড় বহুজাতিক আইটি প্রতিষ্ঠানগুলোকে টার্গেট করা হলে অবাক হওয়ার কিছু নেই; বিশেষত যখন এটি বহিষ্কার এবং তথ্য চুরির সাথে জড়িত থাকে যেমনটি এই উভয় ঘটনাতেই হয়েছিল। তবে আরও উদ্বেগজনক প্রবণতা হ'ল এই সংস্থাগুলি তাদের ক্লাউড পরিবেশ এবং সম্পদের মাধ্যমে কতবার লক্ষ্যবস্তু হচ্ছে।
ক্লাউড কম্পিউটিং যেভাবে সমস্ত আকার এবং আকারের সংস্থাগুলির জন্য স্কেলাবিলিটি, নমনীয়তা, বৃদ্ধি এবং সহযোগিতাকে আমন্ত্রণ জানায়, এটি সাইবার অপরাধীদেরও প্রলুব্ধ করে - বিশেষত অত্যন্ত দক্ষ এবং অনুপ্রাণিত রাষ্ট্র-স্পনসরিত অভিনেতাদের - সুযোগগুলি সন্ধান করতে (এবং তাদের মধ্যে অনেকগুলি রয়েছে) যেখানে ফেডারেটেড অ্যাক্সেস টোকেনগুলি সোয়াইপ করা যেতে পারে, ক্লাউড সম্পদগুলি ভুল কনফিগার করা এবং দুর্বল হতে পারে, বা ইমেল ব্যবহারকারীরা কিছু চতুর সামাজিক প্রকৌশল কৌশল দিয়ে প্রভাবিত হতে পারে। ক্লাউড এনভায়রনমেন্ট এবং প্ল্যাটফর্মগুলির আন্তঃসংযুক্ত প্রকৃতির জন্য ধন্যবাদ, এই প্রচেষ্টাগুলির মধ্যে কেবল একটিতে সফল হওয়া আক্রমণকারীদের কাজ করার জন্য যথেষ্ট হতে পারে।
কি করা যায়?
এই ঘটনাগুলি প্রতিটি আকারের এবং সমস্ত সেক্টর জুড়ে সংস্থাগুলির জন্য শান্ত অনুস্মারক হিসাবে কাজ করা উচিত: সাইবার আক্রমণগুলি তাদের মর্যাদা নির্বিশেষে, এমনকি শিল্প জায়ান্টদের যে কাউকে লক্ষ্যবস্তু করতে পারে। সত্যটি হ'ল প্রতিটি এন্টারপ্রাইজ প্ল্যাটফর্ম, অবকাঠামো উপাদান এবং সহায়ক প্রযুক্তি সম্ভাব্য আক্রমণগুলির জন্য একটি প্রধান লক্ষ্য।
তবে, মৌলিক, অ-আলোচনাযোগ্য সুরক্ষা বৈশিষ্ট্য এবং প্রক্রিয়াগুলি রয়েছে যা মূল্যবান সম্পদগুলি রক্ষা করার জন্য সক্ষম এবং গ্রহণ করা দরকার, বা কমপক্ষে আক্রমণকারীদের কাজকে আরও কঠিন করে তুলতে। যেমনঃ
- সম্ভাব্য সর্বত্র এমএফএ প্রয়োগ করা
- যে কোনও সময় প্রত্যাহার করার ক্ষমতা সহ ওঅথ অ্যাপ্লিকেশন এবং টোকেনগুলি নিরীক্ষণ করা (বিশেষত "উত্তরাধিকার" হিসাবে পরিচিত)
- সুরক্ষা ভঙ্গি পরিচালনা করা (কারণ সর্বদা কিছু মিস বা উপেক্ষা করা বাধ্য)
- সন্দেহজনক অ্যাকাউন্ট আচরণ সনাক্ত করতে অসঙ্গতিগুলি পর্যবেক্ষণ করা (যেমন নতুন অ্যাপ্লিকেশন তৈরি, নতুন / বিশেষাধিকার প্রাপ্ত ভূমিকা নির্ধারণ, ডেটা বহিষ্কার)
আমাকে বিস্তারিত বলার অনুমতি দিন:
কনফিগারেশন অডিট এবং অঙ্গবিন্যাস মূল্যায়নগুলি ভুল কনফিগারেশনগুলি সনাক্ত করতে এবং সংশোধন করতে সহায়তা করতে পারে যেখানে এমএফএ প্রয়োগ করা হয়নি, মূল অ্যাজুরে সিকিউরিটি সেন্টার স্তরে (চিত্র 1) বলুন।
চিত্র 1. Configuration Audits for Microsoft Azure—Skyhigh Security
আক্রমণকারীরা ব্রোকার অ্যাক্সেস এবং বিশেষাধিকারগুলি এমন একটি বিন্দুতে উন্নীত করতে সহায়তা করার জন্য একটি দূষিত ওঅথ অ্যাপ্লিকেশনটি ব্যবহার করেছিল যেখানে তারা কর্পোরেট মাইক্রোসফ্ট ভাড়াটে যা তাদের নির্বাহীদের ইমেলগুলি রেখেছিল। সুরক্ষা দলগুলিকে অবশ্যই ব্যবহারকারীর ডেটাতে অ্যাক্সেস রয়েছে এমন সংযুক্ত ওঅথ অ্যাপ্লিকেশনগুলির "প্রতিকার, নিরীক্ষণ, অনুমতি বা ব্লক" করতে সক্ষম হতে হবে।
এম 365 এর মধ্যে তারা কীভাবে কর্পোরেট ডেটার সাথে ইন্টারঅ্যাক্ট করতে পারে তার উপর অ্যাপ্লিকেশন প্রশাসন এবং নিয়ন্ত্রণ বজায় রাখা গুরুত্বপূর্ণ (চিত্র 2)।
চিত্র 2. ক্লাউড কানেক্টেড অ্যাপস-Skyhigh Security
পরিচয় (এন্ট্রা আইডি) এবং এম 365 আচরণের বিষয়ে, সুরক্ষা দলগুলির তাদের মাইক্রোসফ্ট 365 পরিবেশ জুড়ে অসঙ্গতি এবং সন্দেহজনক আচরণগুলি সনাক্ত, হাইলাইট এবং প্রতিরোধ করার পাশাপাশি তাদের সুরক্ষা ভূমিকা এবং অনুমতিগুলি সনাক্ত করার ক্ষমতা প্রয়োজন।
চিত্র 3. অসঙ্গতি-Skyhigh Security
তথ্যসূত্র: