As recentes notícias de que a Microsoft e a Hewlett Packard Enterprise (HPE) foram violadas através das suas infra-estruturas de correio eletrónico baseadas na nuvem tomaram de assalto o sector da cibersegurança; francamente, por mais do que uma razão! Para aqueles que se lembram das invasões da SolarWinds em 2020, parece que os mesmos actores, agora mais conhecidos como Midnight Blizzard (também conhecidos como Cozy Bear, Nobelium, APT29) parecem estar de novo a atacar.
Embora as violações da HPE e da Microsoft tenham sido divulgadas com poucos dias de diferença, a situação sublinha predominantemente a realidade contínua dos esforços de espionagem internacional da Midnight Blizzard - com relatórios que ligam fortemente o grupo de ameaças ao Serviço de Inteligência Estrangeira Russo (SVR) e a sua persistência na exploração de vulnerabilidades nas pegadas e activos digitais das organizações.
Houve consistência em ambos os incidentes, na medida em que os operadores da Midnight Blizzard obtiveram acesso aos ambientes de correio eletrónico baseados na nuvem da HPE e da Microsoft, através do ataque a caixas de correio de funcionários individuais e ataques de pulverização de palavras-passe, respetivamente.
A HPE declarou que o grupo de hackers "acedeu e exfiltrou dados" de um "número limitado" de caixas de correio 365 da HPE depois de obter acesso através de contas comprometidas.
No caso da Microsoft, os atacantes utilizaram o seu acesso inicial para identificar e infiltrar-se numa aplicação OAuth de teste antiga com acesso elevado ao ambiente empresarial da Microsoft. A exploração desta aplicação permitiu-lhes gerar ainda mais aplicações OAuth maliciosas, permitindo-lhes eventualmente conceder a si próprios funções privilegiadas no Microsoft 365 Exchange Online. Esta tática permitiu-lhes obter acesso a caixas de correio dentro do sistema.
Para agravar a ameaça, o grupo foi observado a empregar ataques de repetição de sessão, o que lhes permite obter acesso inicial aos recursos da nuvem, aproveitando sessões roubadas adquiridas através de métodos ilícitos e corretores de acesso.
Considerando a investigação anterior da Microsoft e as publicações públicas que alertam para o facto de os agentes de ameaças explorarem as aplicações OAuth nas redes das vítimas, estes ataques são intrigantes, tal como são de levantar as sobrancelhas. Numa publicação do blogue da Microsoft em 2022, a empresa descreveu um ataque em que os agentes de ameaças utilizaram o preenchimento de credenciais contra as contas de inquilinos na nuvem de uma organização sem proteção de autenticação multifactor (MFA). Posteriormente, o agente da ameaça utilizou o acesso a contas de inquilinos na nuvem para criar aplicações OAuth maliciosas, fornecendo-lhes acesso à instância do Exchange Online da vítima. Ironicamente, isto não foi muito diferente do que aconteceu com a Microsoft neste caso.
Porque é que estes incidentes ocorrem?
A análise das actividades da Midnight Blizzard revela a sofisticação do grupo, que utiliza uma mistura de malware personalizado e ferramentas alteradas acessíveis ao público para contornar os mecanismos de autenticação, infiltrar-se nos seus alvos e iludir a deteção.
Embora a Microsoft seja frequentemente visada devido à sua dimensão e influência significativas na infraestrutura de TI, tem havido um aumento recente de ataques bem sucedidos aos seus produtos e sistemas internos. Incidentes como este, que utilizam a pulverização de palavras-passe, poderiam ter sido mitigados com a autenticação multi-fator - uma medida que, evidentemente, não foi implementada. A Microsoft defende a MFA como um componente crucial de uma ciber-higiene robusta. Dada a sua posição no ecossistema de segurança, é imperativo responsabilizá-la a um nível mais elevado.
Nas palavras da própria Microsoft, "o ataque não foi o resultado de uma vulnerabilidade nos produtos ou serviços da Microsoft" e este facto é importante para compreender a razão deste incidente. Infelizmente para a Microsoft, tudo se resumiu ao facto de os seus ambientes e infra-estruturas de nuvem estarem mal configurados para proteção.
Ser vítima de ataques de aquisição de contas de correio eletrónico do Microsoft 365 não é novidade, e este é um excelente exemplo de como até os gigantes da indústria, como a HPE, podem ser visados e infiltrados com sucesso a partir do vetor da nuvem.
A dura realidade é que, atualmente, não é surpreendente ver grandes organizações multinacionais de TI a serem alvo de ataques, especialmente quando envolvem exfiltração e roubo de dados, como foi o caso em ambos os incidentes. No entanto, a tendência mais alarmante é a frequência com que estas organizações estão a ser alvo de ataques através dos seus ambientes e activos na nuvem.
Da mesma forma que a computação em nuvem convida à escalabilidade, flexibilidade, crescimento e colaboração para empresas de todas as formas e dimensões, também seduz os cibercriminosos - especialmente os agentes patrocinados pelo Estado, altamente qualificados e motivados - a procurar oportunidades (e há muitas) em que os tokens de acesso federado possam ser roubados, os activos da nuvem possam estar mal configurados e vulneráveis ou os utilizadores de correio eletrónico possam ser influenciados por algumas técnicas inteligentes de engenharia social. Graças à natureza interligada dos ambientes e plataformas de nuvem, ser bem sucedido em apenas um destes esforços pode ser suficiente para os atacantes começarem a trabalhar.
O que é que pode fazer?
Estes incidentes devem servir de alerta para organizações de todas as dimensões e em todos os sectores: os ciberataques podem atingir qualquer pessoa, independentemente da sua estatura, mesmo os gigantes da indústria. A verdade é que cada plataforma empresarial, elemento de infraestrutura e tecnologia de suporte é um alvo privilegiado para potenciais ataques.
No entanto, existem características e processos de segurança fundamentais e inegociáveis que têm de ser activados e adoptados para defender bens valiosos ou, pelo menos, dificultar o trabalho dos atacantes. Coisas como:
- Impor a MFA em todos os locais possíveis
- Auditar aplicações e tokens OAuth, com a capacidade de os revogar em qualquer altura (especialmente os que são conhecidos por serem "antigos")
- Gerir a postura de segurança (porque há sempre algo que não se vê ou que não é tido em conta)
- Monitorização de anomalias para detetar comportamentos suspeitos da conta (como a criação de novas aplicações, atribuição de funções novas/privilegiadas, exfiltração de dados)
Permita-me que me explique melhor:
As auditorias de configuração e as avaliações de postura podem identificar e ajudar a retificar as configurações incorrectas em que o MFA pode não ter sido aplicado, por exemplo, ao nível da raiz do Centro de Segurança do Azure (figura 1).
Figura 1. Auditorias de configuração para o Microsoft Azure-Skyhigh Security
Os atacantes aproveitaram uma aplicação OAuth maliciosa para ajudar a intermediar o acesso e elevar os privilégios a um ponto em que puderam saltar para o inquilino empresarial da Microsoft que alojava os e-mails dos seus executivos. As equipas de segurança devem ser capazes de "remediar, auditar, permitir ou bloquear aplicações OAuth ligadas" que tenham acesso aos dados do utilizador.
É fundamental manter a governação e o controlo das aplicações sobre a forma como podem interagir com os dados empresariais no M365 (figura 2).
Figura 2. Aplicações ligadas à nuvemSkyhigh Security
No que diz respeito à identidade (Entra ID) e aos comportamentos M365, as equipas de segurança precisam de ter a capacidade de detetar, realçar e evitar anomalias e comportamentos suspeitos nos seus ambientes Microsoft 365, bem como as suas funções e permissões de segurança.
Figura 3. Anomalias-Skyhigh Security
Referências: