Инциденты кибербезопасности Midnight Blizzard и Cloudflare -Atlassian: что нужно знать

[Teacher]

Инциденты кибербезопасности Midnight Blizzard и Cloudflare-Atlassian вызвали тревогу по поводу уязвимостей, присущих основным платформам SaaS. Эти инциденты иллюстрируют риски, связанные с нарушениями SaaS - защита целостности SaaS-приложений и их конфиденциальных данных важна, но нелегка. Распространенные векторы угроз, такие как сложный вредоносный фишинг, неправильные настройки и уязвимости в интеграциях приложений сторонних производителей, демонстрируют сложные проблемы безопасности, с которыми сталкиваются ИТ-системы.

В случае Midnight Blizzard первоначальным вектором атаки было распыление паролей в тестовой среде. Для Cloudflare-Atlassian злоумышленники инициировали атаку с помощью скомпрометированных токенов OAuth в результате предыдущего взлома в Okta, поставщике SaaS-систем защиты персональных данных.

Что именно произошло?​

Нарушение Microsoft Midnight Blizzard​

Microsoft стала мишенью российских хакеров "Midnight Blizzard" (также известных как Nobelium, APT29 или Cozy Bear), которые связаны с SVR, подразделением службы внешней разведки Кремля.

При взломе Microsoft действующие лица угрозы:

1. Использовалась стратегия распыления паролей для устаревшей учетной записи и исторических тестовых учетных записей, для которых не была включена многофакторная аутентификация (MFA). Согласно Microsoft, субъекты угрозы "[использовали] небольшое количество попыток избежать обнаружения и блокировки учетных записей в зависимости от объема сбоев".
2. Использовала взломанную устаревшую учетную запись в качестве начальной точки входа, чтобы затем взломать устаревшее тестовое приложение OAuth. Это устаревшее приложение OAuth имело разрешения высокого уровня для доступа к корпоративной среде Microsoft.
3. Создавал вредоносные приложения OAuth, используя разрешения устаревшего приложения OAuth. Поскольку субъекты угрозы контролировали устаревшее приложение OAuth, они могли поддерживать доступ к приложениям, даже если теряли доступ к изначально скомпрометированной учетной записи.
4. Предоставили права администратора Exchange и учетные данные администратора самим себе.
5. Повышение привилегий с OAuth новому пользователю, которым они управляли.
6. Дали согласие на использование вредоносных приложений OAuth, используя свою недавно созданную учетную запись пользователя.
7. Еще больше расширили доступ к устаревшему приложению, предоставив ему полный доступ к почтовым ящикам M365 Exchange Online. Благодаря этому доступу Midnight Blizzard могла просматривать учетные записи электронной почты M365, принадлежащие руководящим сотрудникам, и извлекать корпоративные электронные письма и вложения.

Воссоздание иллюстрации Амитая Коэна

Cloudflare-нарушение Atlassian​

В День благодарения, 23 ноября 2023 г., системы Atlassian от Cloudflare также были скомпрометированы в результате атаки на национальное государство.

1. Это нарушение, начавшееся 15 ноября 2023 года, стало возможным благодаря использованию скомпрометированных учетных данных, которые не были изменены после предыдущего нарушения в Okta в октябре 2023 года.
2. Злоумышленники получили доступ к внутренней вики-странице Cloudflare и базе данных ошибок, что позволило им просмотреть 120 репозиториев кода в экземпляре Atlassian от Cloudflare.
3. 76 репозиториев исходного кода, относящихся к ключевым операционным технологиям, были потенциально удалены.
4. Cloudflare обнаружила субъекта угрозы 23 ноября, поскольку он подключил учетную запись службы Smartsheet к группе администраторов в Atlassian.

Участники угроз все чаще нацеливаются на SaaS​

Эти нарушения являются частью более широкой схемы действий национальных субъектов, нацеленных на поставщиков услуг SaaS, включая, но не ограничиваясь этим, шпионаж и сбор разведданных. Midnight Blizzard ранее участвовала в значительных кибероперациях, включая атаку SolarWinds в 2021 году.

Эти инциденты подчеркивают важность непрерывного мониторинга ваших SaaS-сред и сохраняющийся риск, создаваемый изощренными киберпреступниками, нацеленными на критически важную инфраструктуру и операционный технологический стек. Они также подчеркивают значительные уязвимости, связанные с управлением идентификацией SaaS, и необходимость строгих методов управления рисками в приложениях сторонних производителей.

Злоумышленники используют распространенные тактики, приемы и процедуры (TTP) для взлома SaaS-провайдеров посредством следующей цепочки убийств:

1. Первоначальный доступ: распыление паролей, перехват OAuth
2. Постоянство: выдает себя за администратора, создает дополнительный OAuth
3. Уклонение от защиты: высокопривилегированный OAuth, без MFA
4. Боковое перемещение: более масштабная компрометация подключенных приложений
5. Эксфильтрация данных: извлечение привилегированных и конфиденциальных данных из приложений

Разрыв цепочки убийств SaaS​

Одним из эффективных способов досрочного прекращения цепочки убийств является непрерывный мониторинг, детальное применение политик и упреждающее управление жизненным циклом в ваших SaaS-средах. Платформа SaaS для управления состоянием безопасности (SSPM), подобная AppOmni, может помочь в обнаружении и оповещении о:

• Первоначальный доступ: Готовые правила для обнаружения компрометации учетных данных, включая использование пароля, атаки методом перебора и неисполненные политики MFA
• Постоянство: сканирование и определение разрешений OAuth, а также обнаружение взлома OAuth
• Уклонение от защиты: проверяет политику доступа, определяет, создан ли новый поставщик удостоверений (IdP), обнаруживает изменения разрешений.
• Боковое перемещение: Отслеживайте логины и привилегированный доступ, обнаруживайте опасные комбинации и понимайте радиус действия потенциально скомпрометированной учетной записи

Примечание: Эта статья написана Беверли Невалга, AppOmni.