Microsoft और Hewlett Packard Enterprise (HPE) दोनों की हालिया रिपोर्टों को उनके क्लाउड-आधारित ईमेल इन्फ्रास्ट्रक्चर के माध्यम से भंग किया जा रहा है, जिसने साइबर सुरक्षा उद्योग को तूफान से ले लिया है; सच कहूँ तो, एक से अधिक कारणों से! जो लोग 2020 में SolarWinds हैक्स को याद करते हैं, उनके लिए यह वही अभिनेता प्रतीत होता है, जिन्हें अब आमतौर पर मिडनाइट बर्फ़ीला तूफ़ान (उर्फ आरामदायक भालू, नोबेलियम, APT29) के रूप में जाना जाता है।
हालांकि एचपीई और माइक्रोसॉफ्ट दोनों के उल्लंघनों का खुलासा एक-दूसरे के दिनों के भीतर किया गया था, लेकिन स्थिति मुख्य रूप से मिडनाइट बर्फ़ीला तूफ़ान के अंतरराष्ट्रीय जासूसी प्रयासों की चल रही वास्तविकता को रेखांकित करती है - रिपोर्ट के साथ खतरे के समूह को रूसी विदेशी खुफिया सेवा (एसवीआर) से दृढ़ता से जोड़ा जाता है और संगठनों के डिजिटल पैरों के निशान और संपत्ति के भीतर कमजोरियों का फायदा उठाने में इसकी दृढ़ता।
दोनों घटनाओं में निरंतरता थी कि मिडनाइट बर्फ़ीला तूफ़ान ऑपरेटरों ने क्रमशः व्यक्तिगत कर्मचारी मेलबॉक्स और पासवर्ड स्प्रे हमलों के लक्ष्यीकरण के माध्यम से एचपीई और माइक्रोसॉफ्ट के क्लाउड-आधारित ईमेल वातावरण तक पहुंच प्राप्त की।
एचपीई ने कहा कि हैकिंग समूह ने समझौता किए गए खातों के माध्यम से पहुंच प्राप्त करने के बाद एचपीई के 365 मेलबॉक्सों की "सीमित संख्या" से "एक्सेस और एक्सफिल्ट्रेटेड डेटा" किया।
Microsoft के मामले में, हमलावरों ने Microsoft कॉर्पोरेट वातावरण में उन्नत पहुँच के साथ एक लीगेसी परीक्षण OAuth एप्लिकेशन की पहचान करने और घुसपैठ करने के लिए अपनी प्रारंभिक पहुँच का उपयोग किया। इस एप्लिकेशन का शोषण करने से उन्हें और भी अधिक दुर्भावनापूर्ण OAuth एप्लिकेशन उत्पन्न करने में सक्षम बनाया गया, अंततः उन्हें खुद को विशेषाधिकार प्राप्त Microsoft 365 Exchange Online भूमिकाएँ प्रदान करने की अनुमति मिली। इस रणनीति ने उन्हें सिस्टम के भीतर मेलबॉक्स तक पहुंच प्राप्त करने की अनुमति दी।
खतरे को कम करने के लिए, समूह को सत्र रीप्ले हमलों को नियोजित करते हुए देखा गया है, जिससे उन्हें अवैध तरीकों और एक्सेस ब्रोकरों के माध्यम से प्राप्त चोरी के सत्रों का लाभ उठाकर क्लाउड संसाधनों तक प्रारंभिक पहुंच प्राप्त करने में सक्षम बनाया गया है।
Microsoft के पिछले शोध और सार्वजनिक पदों को ध्यान में रखते हुए पीड़ितों के नेटवर्क के भीतर OAuth अनुप्रयोगों का शोषण करने वाले खतरे के अभिनेताओं के बारे में चेतावनी देते हुए, ये हमले पेचीदा हैं क्योंकि वे भौं उठा रहे हैं। 2022 में Microsoft के एक ब्लॉग पोस्ट में, कंपनी ने एक हमले की रूपरेखा तैयार की, जहां धमकी देने वाले अभिनेताओं ने मल्टी-फैक्टर ऑथेंटिकेशन (MFA) सुरक्षा की कमी वाले संगठन के क्लाउड टैनेंट खातों के खिलाफ क्रेडेंशियल स्टफिंग को नियोजित किया। इसके बाद, धमकी देने वाले अभिनेता ने दुर्भावनापूर्ण OAuth ऐप्स बनाने के लिए क्लाउड टेनेंट खातों तक पहुंच का उपयोग किया, जिससे उन्हें पीड़ित के एक्सचेंज ऑनलाइन इंस्टेंस में प्रवेश मिला। विडंबना यह है कि इस उदाहरण में माइक्रोसॉफ्ट के खिलाफ जो हुआ उससे यह बिल्कुल भी दूर नहीं था।
ये घटनाएं क्यों होती हैं?
मिडनाइट बर्फ़ीला तूफ़ान की गतिविधियों का विश्लेषण करने से समूह के परिष्कार का पता चलता है, क्योंकि वे कस्टम-डिज़ाइन किए गए मैलवेयर के मिश्रण को नियोजित करते हैं और प्रमाणीकरण तंत्र को बायपास करने, अपने लक्ष्यों में घुसपैठ करने और पता लगाने से बचने के लिए सार्वजनिक रूप से सुलभ उपकरणों को बदल देते हैं।
हालाँकि Microsoft को IT अवसंरचना में इसके महत्वपूर्ण आकार और प्रभाव के कारण अक्सर लक्षित किया जाता है, लेकिन हाल ही में उनके उत्पादों और आंतरिक प्रणालियों दोनों पर सफल हमलों में वृद्धि हुई है। पासवर्ड-छिड़काव का उपयोग करने वाली घटनाओं को बहु-कारक प्रमाणीकरण के साथ कम किया जा सकता था - एक उपाय जो स्पष्ट रूप से लागू नहीं किया गया था। Microsoft मजबूत साइबर स्वच्छता के एक महत्वपूर्ण घटक के रूप में MFA की वकालत करता है। सुरक्षा पारिस्थितिकी तंत्र में उनकी स्थिति को देखते हुए, उन्हें उच्च स्तर की जवाबदेही पर रखना अनिवार्य है।
Microsoft के अपने शब्दों में, "हमला Microsoft उत्पादों या सेवाओं में भेद्यता का परिणाम नहीं था" और यह समझने के संदर्भ में महत्वपूर्ण है कि यह घटना क्यों हुई। दुर्भाग्य से Microsoft के लिए, यह नीचे आया कि सुरक्षा के लिए उनके क्लाउड वातावरण और बुनियादी ढांचे को कितना खराब तरीके से कॉन्फ़िगर किया गया था।
Microsoft 365 ईमेल खाता अधिग्रहण हमलों का शिकार होना कोई नई बात नहीं है, और यह इस बात का एक बेहतरीन उदाहरण है कि कैसे HPE जैसे उद्योग के दिग्गजों को भी क्लाउड वेक्टर से सफलतापूर्वक लक्षित और घुसपैठ किया जा सकता है।
कठोर वास्तविकता यह है कि आजकल बड़े, बहुराष्ट्रीय आईटी संगठनों को लक्षित होते देखना शायद ही आश्चर्यजनक है; विशेष रूप से जब इसमें डेटा का निष्कासन और चोरी शामिल है जैसा कि इन दोनों घटनाओं में हुआ था। हालांकि, अधिक खतरनाक प्रवृत्ति यह है कि इन संगठनों को उनके क्लाउड वातावरण और परिसंपत्तियों के माध्यम से कितनी बार लक्षित किया जा रहा है।
जिस तरह से क्लाउड कंप्यूटिंग सभी आकार और आकार की कंपनियों के लिए स्केलेबिलिटी, लचीलापन, विकास और सहयोग को आमंत्रित करता है, उसी तरह यह साइबर अपराधियों को भी लुभाता है - विशेष रूप से अत्यधिक कुशल और प्रेरित राज्य-प्रायोजित अभिनेताओं - अवसरों की तलाश करने के लिए (और उनमें से कई हैं) जहां फ़ेडरेटेड एक्सेस टोकन स्वाइप किए जा सकते हैं, क्लाउड एसेट्स को गलत कॉन्फ़िगर और कमजोर किया जा सकता है, या ईमेल उपयोगकर्ताओं को कुछ चतुर सोशल इंजीनियरिंग तकनीकों के साथ बहकाया जा सकता है। क्लाउड वातावरण और प्लेटफार्मों की परस्पर प्रकृति के लिए धन्यवाद, इनमें से केवल एक प्रयास में सफल होना हमलावरों के लिए काम करने के लिए पर्याप्त हो सकता है।
क्या किया जा सकता है?
इन घटनाओं को हर आकार और सभी क्षेत्रों के संगठनों के लिए गंभीर अनुस्मारक के रूप में कार्य करना चाहिए: साइबर हमले किसी को भी लक्षित कर सकते हैं, चाहे उनका कद कुछ भी हो, यहां तक कि उद्योग के दिग्गज भी। सच्चाई यह है कि प्रत्येक उद्यम मंच, बुनियादी ढांचा तत्व और सहायक तकनीक संभावित हमलों के लिए एक प्रमुख लक्ष्य है।
हालांकि, मौलिक, गैर-परक्राम्य सुरक्षा विशेषताएं और प्रक्रियाएं हैं जिन्हें मूल्यवान संपत्तियों की रक्षा के लिए सक्षम और अपनाया जाना चाहिए, या कम से कम हमलावरों के काम को कठिन बनाना चाहिए। इस तरह की चीजें:
- हर संभव एमएफए लागू करना
- OAuth अनुप्रयोगों और टोकन का ऑडिट करना, किसी भी समय रद्द करने की क्षमता के साथ (विशेषकर जिन्हें "विरासत" के रूप में जाना जाता है)
- सुरक्षा मुद्रा का प्रबंधन (क्योंकि हमेशा कुछ याद किया जाता है या अनदेखा किया जाता है)
- संदिग्ध खाता व्यवहारों का पता लगाने के लिए विसंगतियों की निगरानी करना (जैसे नए अनुप्रयोगों का निर्माण, नई/विशेषाधिकार प्राप्त भूमिकाएं सौंपना, डेटा का बहिष्करण)
मुझे विस्तृत करने की अनुमति दें:
कॉन्फ़िगरेशन ऑडिट और आसन आकलन गलत कॉन्फ़िगरेशन की पहचान कर सकते हैं और उन्हें सुधारने में मदद कर सकते हैं जहां एमएफए लागू नहीं किया गया हो सकता है, रूट एज़्योर सुरक्षा केंद्र स्तर (आंकड़ा 1) पर कहें।
हमलावरों ने ब्रोकर एक्सेस में मदद करने के लिए एक दुर्भावनापूर्ण OAuth एप्लिकेशन का लाभ उठाया और विशेषाधिकारों को एक बिंदु तक बढ़ा दिया, जहां वे कॉर्पोरेट Microsoft किरायेदार के पास कूद सकते थे जो उनके अधिकारियों के ईमेल रखता था। सुरक्षा टीमों को "कनेक्ट किए गए OAuth ऐप्स को उपचारित, ऑडिट, अनुमति या ब्लॉक करने" में सक्षम होना चाहिए, जिनके पास उपयोगकर्ता डेटा तक पहुंच है।
ऐप गवर्नेंस को बनाए रखना और M365 के भीतर कॉर्पोरेट डेटा के साथ बातचीत करने के तरीके पर नियंत्रण रखना महत्वपूर्ण है (चित्र 2)।
पहचान (Entra ID) और M365 व्यवहारों के संबंध में, सुरक्षा टीमों को अपने Microsoft 365 परिवेशों के साथ-साथ उनकी सुरक्षा भूमिकाओं और अनुमतियों में विसंगतियों और संदिग्ध व्यवहारों का पता लगाने, हाइलाइट करने और रोकने की क्षमता की आवश्यकता होती है।
संदर्भ: