Biztonsági figyelmeztetés a felhőben: orosz hackerek Microsoft Teams segítségével adathalászatot végeznek
A Microsoft szerint egy az orosz kormányhoz köthető hackercsoport a Microsoft Teams csevegő alkalmazást használja adathalászati célokra különböző szervezeteknél.
Microsoft Jelentés
A szoftvercég, Microsoft, szerda hajnalban adott ki közleményt egy orosz kormánnyal kapcsolatban álló, ismert hackercsoport tevékenységéről, amely a Microsoft Teams alkalmazást használja felhasználói adatok lopására.
A redmondi Fenyegetések Intelligencia Csapat kutatási jelentése szerint a hackercsoport az orosz Külügyi Hírszerző Szolgálatához (SVR-ként is ismert) köthető. A csoportot kormányzati és civil szervezetek, IT szolgáltatók, technológiai vállalatok, gyártók és médiaházak elleni támadásokkal vádolják.
Éjféli Hóvihar Támadásai
A Microsoft ezt a csoportot ‘Éjféli Hóvihar’ (korábban Nobelium néven ismert) néven azonosította, és figyelmeztetett arra, hogy a csoport már fertőzött Microsoft 365 felhasználói fiókokat használ kisvállalkozásoktól új domainek létrehozására, amelyek technikai támogató entitásoknak látszanak.
Ezen domainekkel a kutatók a Microsoft Teams üzeneteit használták felhasználói adatok lopására, amelyek a felhasználók interakcióját és többlépéses hitelesítési folyamatokat (MFA) céloztak meg.
A vállalat azt állítja, hogy a támadásokat kevesebb mint 40 globális szervezetnél azonosították, ami arra utal, hogy ez USA-ban és Európában egy célzott, precíz kiberkémkedési akcióról van szó.
További Részletek a Támadásról
A Microsoft kutatói a legújabb adathalász támadások technikai dokumentációját is elkészítették, amely a csalétek céljából használt biztonsági domainnevekre vonatkozik.
“A támadások megkönnyítése érdekében a csoport korábban megfertőzött kisvállalkozások Microsoft 365 fiókjait használta. A csoport átnevezi a fertőzött fiókot, hozzáad egy új ‘onmicrosoft.com’ aldomaint, és létrehoz egy új felhasználót ezen a domainen, amelyről üzenetet küld a célpont fiókhoz.”
Ha a támadás sikeres, a támadók hozzáférnek a célpont Microsoft 365 fiókjához és a kapcsolódó szolgáltatásokhoz, és befejezik a hitelesítési folyamatot.
Amikor a támadás megtörténik, a támadók eltulajdoníthatják a felhasználói információkat, és hozzáférhetnek más Microsoft 365 szolgáltatásokhoz, mint például az Azure.
Védelem és Utóhatások
A Microsoft azt állítja, hogy észlelte a támadás utáni tevékenységeket és az információk eltulajdonítását. Bizonyos esetekben az aktor megpróbált hozzáadni eszközöket a szervezethez, amelyeket a Microsoft Entra ID kezel. Ez a támadó számára lehetővé teszi, hogy megkerülje azokat a feltételes hozzáférési szabályokat, amelyek csak kezelt eszközökkel működnek.
A Microsoft folyamatosan dolgozik azon, hogy felismerje és blokkolja ezen támadási vektorokat, és azt javasolja a felhasználóknak, hogy legyenek óvatosak minden ismeretlen forrásból érkező üzenettel és felszólítással kapcsolatban.
Forrás: www.securityweek.com
Egy ember hétvégi italozása a japán Amagasaki városban a teljes lakosságot veszélybe sodorta.
Még június végén történt az az eset, hogy a hatóságok közleménye szerint egy meg nem nevezett önkormányzati dolgozó egy esti italozás mellett döntött a japán Amagasaki városban. A negyvenes éveiben járó férfi az utcán aludta ki fáradalmait, miután egy helyi vendéglőben a kelletténél több alkoholt fogyasztott. A híradások szerint, miután felébredt, a város összes lakosainak adatait tartalmazó USB meghajtó, táskájával egyetemben eltűnt.
Közel félmillió lakos adata tűnt el
Az önkormányzat dolgozójának a feladatkörébe tartozott az adókedvezmények megállapítása. Vélhetően munkája miatt volt szüksége a szorgalmas, ámde italos kedvű dolgozónak azinformációkra, ezért másolta át egy USB memóriára a város összes, 465 177 darab lakosának minden adatát.
Az adatok között szerepelt a lakosok neve, születési dátuma, címe mellett a teljes adózással kapcsolatos információja is, ahogy a bankszámlaszám is. Az adatok között kiderült az is, hogy az adott lakos vett-e igénybe valamilyen szociális juttatást vagy sem.
Engedély nélkül ne másoljanak
Miután a görbe éjszaka után kijózanodott az önkormányzati dolgozó a rendőrségen tett feljelentést az ellopott táska és szenzitív adatok miatt. A hatóságok közleménye szerint az USB titkosított, így vélhetően senki sem tud hozzáférni az adatokhoz.
Ugyancsak a közlemény szerint az érintett alkalmazottnak joga volt az adatokkal dolgozni, azonban az információkat engedély nélkül másolta át a hordozható USB memóriára. A hatóságok bírálták a mámorából felébredt kollégát, hogy munkája elvégzése után nem törölte az USB-ről az adatokat. Azt is kifogásolták, hogy az adatok szállítására ezt a kevésbé biztonságos módszert választotta.
Az adatok elvesztése nem érinti az adókedvezmények kifizetését, azokat a hatóságok szerint a tervezett menetrend szerint végrehajtják. A közlemény végén a hatóságok figyelmeztették az önkormányzat dolgozóit, hogy engedély nélkül ne másoljanak adatokat USB-re és azokat nem vigyék ki a hivatali irodákból.