रूसी ख़तरनाक अभिनेता "मिडनाइट ब्लिज़ार्ड" द्वारा पिछले नवंबर में माइक्रोसॉफ्ट के वरिष्ठ नेतृत्व से संबंधित ईमेल खातों तक पहुंच और डेटा को बाहर निकालने के महीनों पहले, समूह ने पहले ही हेवलेट-पैकर्ड एंटरप्राइज (एचपीई) में ऐसा ही किया था।
एक नया फॉर्म 8-के एसईसी फाइलिंग 19 जनवरी को पता चलता है कि मिडनाइट ब्लिज़ार्ड, जिसे नोबेलियम, कोज़ी बियर और एपीटी29 के नाम से भी जाना जाता है, ने मई 2023 में किसी समय एचपीई के क्लाउड-होस्टेड ईमेल वातावरण का उल्लंघन किया था। हमलावरों ने कंपनी के दावों से संबंधित खातों से बहुत कम संख्या में डेटा चुराया था। कंपनी के साइबर सुरक्षा, विपणन, व्यवसाय और अन्य क्षेत्रों में व्यक्ति।
एचपीई ने कहा कि उसे 12 दिसंबर, 2023 को घुसपैठ के बारे में पता चला और तब से वह हमले की पूरी गुंजाइश और सटीक समयरेखा निर्धारित करने के लिए बाहरी साइबर सुरक्षा विशेषज्ञों के साथ काम कर रहा है। एचपीई की फाइलिंग में कहा गया है, "कंपनी अब समझती है कि यह घटना संभवतः इस धमकी देने वाले अभिनेता की पिछली गतिविधि से संबंधित है, जिसके बारे में हमें जून 2023 में सूचित किया गया था, जिसमें मई 2023 की शुरुआत में सीमित संख्या में SharePoint फ़ाइलों तक अनधिकृत पहुंच और घुसपैठ शामिल थी।" .
माइक्रोसॉफ्ट ने पिछले सप्ताह इसी तरह के उल्लंघन का खुलासा किया था
एचपीई की एसईसी फाइलिंग की खबर माइक्रोसॉफ्ट द्वारा पिछले हफ्ते एक ब्लॉग पोस्ट में खुलासा किए जाने के कुछ ही दिनों बाद आई है कि उसने इसका पता लगाया है आधी रात के बर्फ़ीले तूफ़ान ने इसके कॉर्पोरेट सिस्टम पर हमला किया 12 जनवरी को कंपनी ने कहा कि उसकी जांच से पता चला है कि हमलावर ने नवंबर 2023 में उसके सिस्टम में सेंध लगाई थी और तब से वह साइबर सुरक्षा, कानूनी और अन्य कार्यों में वरिष्ठ नेतृत्व और कर्मचारियों के ईमेल खातों से जानकारी चुरा रहा है।
मिडनाइट ब्लिज़ार्ड ने इसका उपयोग करके माइक्रोसॉफ्ट के कॉर्पोरेट नेटवर्क तक प्रारंभिक पहुंच प्राप्त की सामान्य पासवर्ड स्प्रे हमला एक विरासती गैर-उत्पादन परीक्षण खाते का उल्लंघन करना। इसके बाद धमकी देने वाले ने माइक्रोसॉफ्ट के रुचि के ईमेल खातों तक पहुंचने के लिए उस खाते की अनुमतियों का उपयोग किया। “जांच से संकेत मिलता है कि वे शुरुआत में मिडनाइट ब्लिज़ार्ड से संबंधित जानकारी के लिए ईमेल खातों को लक्षित कर रहे थे। हम उन कर्मचारियों को सूचित करने की प्रक्रिया में हैं जिनके ईमेल तक पहुंच बनाई गई थी, ”माइक्रोसॉफ्ट के ब्लॉग पोस्ट के अनुसार।
घटना के बाद माइक्रोसॉफ्ट ने अपने सुरक्षा प्रोटोकॉल - विशेष रूप से अपने पुराने सिस्टम से जुड़े प्रोटोकॉल - में सुधार करने की कसम खाई है।
एक खतरनाक राज्य-प्रायोजित ख़तरा
हमलों ने नए सिरे से ध्यान मिडनाइट ब्लिज़ार्ड पर केंद्रित कर दिया है, जो एक खतरनाक अभिनेता है जिसे अमेरिकी सरकार ने औपचारिक रूप से रूस की विदेशी खुफिया सेवा (एसवीआर) से जोड़ा है। अप्रैल 2021 में, अमेरिकी साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी, एफबीआई और राष्ट्रीय सुरक्षा एजेंसी ने खतरे वाले अभिनेता की पहचान की। सोलरविंड्स के निर्माण परिवेश में सेंध लगाना और एक वैध सॉफ़्टवेयर अपडेट में मैलवेयर प्लांट करना जिसे कई ग्राहकों ने अपने सिस्टम पर डाउनलोड कर लिया। सोलरविंड्स ने दिसंबर 2020 में उल्लंघन का पता लगाया और घोषणा की, हालांकि वास्तविक उल्लंघन सितंबर 2019 में हुआ, प्रारंभिक जांच गतिविधि जनवरी 2019 में शुरू होगी.
उस घुसपैठ ने खतरे वाले अभिनेता के लिए व्यापक फोकस को चिह्नित किया, जो 2009 के आसपास से सक्रिय है। इसके कई शुरुआती अभियान राजनीतिक खुफिया जानकारी एकत्र करने पर केंद्रित थे। सबसे उल्लेखनीय में इसके हमले थे डेमोक्रेटिक नेशनल कमेटी (DNC) 2015 में और हमलों की बाढ़ आ गई यूरोपीय संघ सरकारें, नाटो थिंक टैंक, और 2019 में अन्य।
लेकिन जैसा कि सीआईएसए ने एक में उल्लेख किया है 2023 दिसंबर की एडवाइजरी, 2018 से, और विशेष रूप से सोलरविंड्स के बाद, मिडनाइट ब्लिज़ार्ड/एसवीआर भी प्रौद्योगिकी कंपनियों पर भारी ध्यान केंद्रित कर रहा है। इसके कई अभियानों में ऐसा शामिल है जिसे सीआईएसए ने "कम और धीमी" पासवर्ड छिड़काव और कुछ व्यापक रूप से उपयोग किए जाने वाले उत्पादों में कमजोरियों के खिलाफ शोषण के रूप में वर्णित किया है। समूह द्वारा आमतौर पर उपयोग की जाने वाली कुछ खामियों में फोर्टिनेट उपकरणों में CVE-2018-13379 शामिल हैं; ज़िम्ब्रा में CVE-2019-9670, पल्स सिक्योर वीपीएन में CVE-2019-11510, Citrix में CVE-2019-1978, और CVE-2020-4006 VMware को प्रभावित कर रहे हैं।
JetBrains TeamCity भेद्यता का व्यापक लक्ष्यीकरण
सीआईएसए ने अपनी दिसंबर की एडवाइजरी में कहा CVE-2023-42793, एक प्रमाणीकरण बायपास भेद्यता जेटब्रेन्स टीमसिटी, उन खामियों की सूची में जिन्हें समूह हाल के महीनों में आक्रामक तरीके से लक्षित कर रहा है। सीआईएसए ने चेतावनी दी कि कैसे टीमसिटी सर्वर तक पहुंच खतरे वाले अभिनेता को स्रोत कोड तक पहुंच, प्रमाणपत्रों पर हस्ताक्षर करने और सॉफ्टवेयर संकलन और तैनाती प्रक्रियाओं के साथ छेड़छाड़ करने की क्षमता प्रदान करेगी। सीवीई-2023-42793 का फायदा उठाने का चयन करके, "एसवीआर पीड़ितों तक पहुंच से लाभान्वित हो सकता है, विशेष रूप से खतरे वाले अभिनेताओं को दर्जनों सॉफ्टवेयर डेवलपर्स के नेटवर्क से समझौता करने की अनुमति देकर," सलाहकार ने कहा।
सीआईएसए सलाह के समय तक, कम से कम, एसवीआर/मिडनाइट ब्लिज़ार्ड ने सोलरविंड्स जैसे हमले को अंजाम देने के लिए टीमसिटी सीवीई द्वारा प्रदान की गई पहुंच का उपयोग नहीं किया था। लेकिन खतरा पैदा करने वाला व्यक्ति विशेषाधिकारों को बढ़ाने, पार्श्व में आगे बढ़ने, अतिरिक्त पेलोड तैनात करने और दृढ़ता स्थापित करने के लिए भेद्यता का उपयोग कर रहा है, सीआईएसए ने चेतावनी दी है।
सेम्पेरिस में सुरक्षा अनुसंधान के वरिष्ठ निदेशक योसी राचमन ने कहा, "इस विशेष समय में, साइबर सुरक्षा उद्योग के पंडित और विचारक नेता मिडनाइट ब्लिज़ार्ड को इन लक्षित हमलों को अंजाम देने के लिए प्रेरित करने के बारे में कई तरह की राय दे रहे हैं।" "वर्तमान में, यह अत्यधिक संभावना है कि वे एचपी सुरक्षा पेशेवरों और माइक्रोसॉफ्ट के पास रूसी समर्थित हमले समूहों और समग्र रूप से रूसी साइबर आक्रामक प्रयासों के बारे में कोई भी जानकारी प्राप्त करने के लिए सूचना एकत्र करने के मिशन पर हैं।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/threat-intelligence/midnight-blizzard-breached-hpe-email-before-microsoft-hack
