माइक्रोसॉफ्ट ने पिछले हफ्ते खुलासा किया था कि उसे पता चला है कि उसके कॉर्पोरेट सिस्टम में रूसी राज्य समर्थित हैकर्स द्वारा समझौता किया गया था, जो सोलरविंड्स हमले के पीछे थे। हैकर्स माइक्रोसॉफ्ट की वरिष्ठ नेतृत्व टीम के कुछ सदस्यों के ईमेल खातों तक पहुंचने में सक्षम थे, और संभावित रूप से हफ्तों या महीनों तक उन पर नज़र रख रहे थे।
जबकि माइक्रोसॉफ्ट ने शुक्रवार देर रात सिक्योरिटीज एंड एक्सचेंज कमीशन को अपने पहले खुलासे में इस बारे में अधिक विवरण नहीं दिया कि हमलावरों ने कैसे पहुंच प्राप्त की, सॉफ्टवेयर निर्माता ने अब एक प्रारंभिक विश्लेषण जारी किया है कि कैसे हैकर्स ने इसकी सुरक्षा सुरक्षा का उल्लंघन किया है। माइक्रोसॉफ्ट ने यह भी चेतावनी दी कि मौसम-आधारित हैकिंग समूह, जिसे नोबेलियम या "मिडनाइट ब्लिज़ार्ड" के नाम से जाना जाता है, जैसा कि माइक्रोसॉफ्ट इसे कहता है, अन्य संगठनों पर हमला कर रहा है।
नोबेलियम ने शुरुआत में पासवर्ड स्प्रे हमले के माध्यम से माइक्रोसॉफ्ट सिस्टम तक पहुंच प्राप्त की। यह हमला एक क्रूर हमला है जिसमें हैकर्स किसी खाते पर हमला करने के लिए संभावित पासवर्ड के शब्दकोश का उपयोग करते हैं। इसके अलावा, समझौता किए गए गैर-उत्पादन परीक्षण किरायेदार खाते में दो-कारक प्रमाणीकरण सक्षम नहीं था। माइक्रोसॉफ्ट ने कहा कि नोबेलियम ने "पहचान से बचने के लिए कम संख्या में प्रयासों का उपयोग करते हुए सीमित संख्या में खातों को लक्षित करने के लिए अपने पासवर्ड स्प्रे हमले को तैयार किया है।"
इस हमले में, समूह ने "एक विरासत परीक्षण OAuth एप्लिकेशन की पहचान करने और उससे समझौता करने के लिए अपनी प्रारंभिक पहुंच का लाभ उठाया, जिसकी Microsoft के एंटरप्राइज़ वातावरण में उन्नत पहुंच थी।" OAuth टोकन-आधारित प्रमाणीकरण के लिए व्यापक रूप से उपयोग किया जाने वाला खुला मानक है। इसका उपयोग आमतौर पर पूरे वेब पर किया जाता है ताकि आप किसी वेबसाइट पर अपना पासवर्ड दिए बिना ऐप्स और सेवाओं में लॉग इन कर सकें। उन वेबसाइटों के बारे में सोचें जिन पर आप अपने जीमेल खाते का उपयोग करके लॉग इन कर सकते हैं। यहीं पर OAuth काम आता है।
उन्नत पहुंच ने समूह को अधिक दुर्भावनापूर्ण OAuth एप्लिकेशन बनाने और Microsoft के एंटरप्राइज़ वातावरण और अंततः इसकी Office 365 एक्सचेंज ऑनलाइन सेवा तक पहुंचने के लिए खाते बनाने की अनुमति दी, जिससे ईमेल इनबॉक्स तक पहुंच प्राप्त हुई।
माइक्रोसॉफ्ट की सुरक्षा टीम बताती है: "मिडनाइटब्लिजार्ड माइक्रोसॉफ्ट एक्सचेंज ऑनलाइन और माइक्रोसॉफ्ट बिजनेस ईमेल खातों को प्रमाणित करने के लिए इन दुर्भावनापूर्ण OAuth अनुप्रयोगों का लाभ उठाता है।
Microsoft ने यह खुलासा नहीं किया है कि कितने कॉर्पोरेट ईमेल खातों को लक्षित और एक्सेस किया गया था, लेकिन कंपनी ने पहले इसे "Microsoft कॉर्पोरेट ईमेल खातों का एक बहुत छोटा उपसमूह, जिसमें हमारी वरिष्ठ नेतृत्व टीम के सदस्य और साइबर सुरक्षा, कानूनी और अन्य कार्यों में कर्मचारी शामिल हैं" के रूप में वर्णित किया है।
माइक्रोसॉफ्ट ने अभी भी सटीक समयसीमा का खुलासा नहीं किया है कि हैकर्स ने उसकी वरिष्ठ नेतृत्व टीम और अन्य कर्मचारियों पर कितने समय तक नजर रखी। प्रारंभिक हमला नवंबर 2023 के अंत में हुआ, लेकिन माइक्रोसॉफ्ट को 12 जनवरी तक इसकी जानकारी नहीं थी। इसका मतलब यह हो सकता है कि हमलावर लगभग दो महीने से माइक्रोसॉफ्ट के अधिकारियों की जासूसी कर रहे थे।
हेवलेट पैकार्ड एंटरप्राइज (एचपीई) ने इस सप्ताह की शुरुआत में खुलासा किया था कि हैकरों के इसी समूह ने पहले उसके "क्लाउड-आधारित ईमेल वातावरण" तक पहुंच प्राप्त की थी। एचपीई ने प्रदाता का नाम नहीं बताया, लेकिन कंपनी ने खुलासा किया कि यह घटना मई 2023 की शुरुआत में "सीमित संख्या में [माइक्रोसॉफ्ट] शेयरपॉइंट फ़ाइल घुसपैठ से संबंधित" थी।
यह हमला माइक्रोसॉफ्ट द्वारा अपने एज़्योर क्लाउड पर एक बड़े हमले के बाद अपनी सॉफ्टवेयर सुरक्षा में सुधार की योजना की घोषणा के कुछ ही दिनों बाद हुआ है। यह माइक्रोसॉफ्ट द्वारा सामना की गई नवीनतम साइबर सुरक्षा घटना है। इससे पहले, 2021 में, Microsoft एक्सचेंज सर्वर में भेद्यता के कारण 30,000 संगठनों के ईमेल सर्वर हैक हो गए थे। पिछले साल, चीनी हैकरों ने माइक्रोसॉफ्ट क्लाउड भेद्यता के माध्यम से अमेरिकी सरकार के ईमेल पर हमला किया था। लगभग तीन साल पहले हुए बड़े सोलरविंड्स हमले के केंद्र में माइक्रोसॉफ्ट भी था और इस शर्मनाक कार्यकारी ईमेल हमले के पीछे भी वही नोबेलियम समूह था।
माइक्रोसॉफ्ट ने स्वीकार किया है कि उसके प्रमुख परीक्षण खाते में दो-कारक प्रमाणीकरण का अभाव है, जो साइबर सुरक्षा समुदाय में चिंता का कारण हो सकता है। हालाँकि यह Microsoft सॉफ़्टवेयर में कोई भेद्यता नहीं थी, यह एक ख़राब तरीके से कॉन्फ़िगर किया गया परीक्षण वातावरण था जिसने हैकर्स को Microsoft के कॉर्पोरेट नेटवर्क को चुपचाप ट्रेस करने की अनुमति दी थी। इस सप्ताह की शुरुआत में, क्राउडस्ट्राइक के सीईओ जॉर्ज कर्ट्ज़ ने सीएनबीसी के साथ एक साक्षात्कार में पूछा: "गैर-उत्पादन परीक्षण वातावरण के कारण माइक्रोसॉफ्ट के उच्चतम-स्तरीय अधिकारियों को समझौता कैसे करना पड़ा?" मुझे लगता है कि अभी और भी बहुत कुछ आना बाकी है। "
अधिक जानकारी जारी कर दी गई है, लेकिन कुछ प्रमुख विवरण अभी भी गायब हैं। Microsoft यह दावा करता है कि यदि वही गैर-उत्पादन परीक्षण वातावरण आज तैनात किया गया होता, तो इन हमलों से बेहतर सुरक्षा के लिए "लागू Microsoft नीतियां और वर्कफ़्लो MFA और हमारी सक्रिय सुरक्षा सुनिश्चित करेंगे"। माइक्रोसॉफ्ट के पास समझाने के लिए अभी भी बहुत कुछ है, खासकर अगर वह ग्राहकों को यह विश्वास दिलाना चाहता है कि वह सुरक्षा खतरों से बेहतर सुरक्षा के लिए अपने सॉफ्टवेयर और सेवाओं के डिजाइन, निर्माण, परीक्षण और संचालन के तरीके में वास्तव में सुधार कर रहा है।
और अधिक जानें:
https://www.microsoft.com/en-us/security/blog/2024/01/25/midnight-blizzard-guidance-for-responders-on-nation-state-attack/