La difesa dagli attacchi statali: un’analisi dell’incursione Midnight Blizzard e le contromisure adottate.
La sicurezza informatica si confronta quotidianamente con minacce di varia natura, tuttavia, quando queste provengono da attori statali, la gravità e la complessità dell’attacco raggiungono livelli estremamente elevati. Emblematico è il caso di “Midnight Blizzard“, un’operazione malevola che rientra nelle attività di cyber espionage russe, condotta dall’attore noto come NOBELIUM.
In questo contesto, Microsoft si è trovata a gestire un attacco informatico di proporzioni considerevoli, che ha richiesto un processo di risposta immediato per interrompere le attività maliziose in corso, mitigare l’attacco e negare ulteriori accessi al cyber aggressore. Le tecniche adottate da Midnight Blizzard sono sofisticate e includono metodi di accesso iniziale diversificati, movimenti laterali all’interno delle reti colpite e metodi di persistenza sviluppati per raccogliere informazioni rilevanti a sostegno degli interessi di politica estera russa.
Microsoft, attraverso l’indagine del proprio Threat Intelligence, ha identificato e svelato le tecniche utilizzate da questo attore, che si sono concentrate principalmente su attacchi di tipo password spray, l’abuso di applicazioni OAuth e l’impiego di infrastrutture proxy residenziali. Il rischio legato a questi attacchi è ulteriormente amplificato quando si ha a che fare con entità statali, in quanto dispongono di risorse che vanno oltre quelle di un comune cyber criminale.
Il modus operandi di Midnight Blizzard si è dimostrato consistente e persistente nella sua mira operativa, con obiettivi che raramente mutano. L’utilizzo improprio di applicazioni OAuth permette ai criminali informatici di mantenersi accessi alle applicazioni, anche in caso di perdita di accesso all’account compromesso inizialmente. Per confrontarsi con tali minacce, è necessario un approccio di sicurezza robusto e multilivello, che va dalla difesa dalle applicazioni OAuth malevole, alla protezione contro attacchi di password spray e alla caccia alle minacce tramite analisi di comportamenti insoliti collegati all’uso di infrastrutture proxy.
Guida alla Difesa e alla Protezione
Per contrastare questa tipologia di attacchi, è fondamentale implementare una serie di misure di difesa che prevedano la verifica dell’attività delle applicazioni OAuth, l’adozione del controllo delle app in accesso condizionato e la tutela contro gli attacchi password spray. Sono altresì necessari strumenti che consentano di identificare e gestire eventuali anomalie, come le policy di rilevamento delle anomalie e i meccanismi di Microsoft Entra ID Protection.
É fondamentale far leva sulla formazione degli utenti per rafforzare la sicurezza: dalle buone pratiche come la verifica dell’attività di accesso fino al riconoscimento e segnalazione di tentativi di accesso sospetti come “Questo non ero io”. Queste azioni, benché semplici, rappresentano la prima linea di difesa nell’identificazione di comportamenti anomali che potrebbero suggerire un tentativo di intrusione.
Guida al Rilevamento e alla Caccia
Il monitoraggio dell’attività di Exchange Web Services (EWS), abbinato a una conoscenza approfondita di Midnight Blizzard, ha permesso di identificare gli attacchi nei dati di registro. Utilizzando metodologie di caccia simili, anche altri difensori possono rilevare e investigare tattiche e tecniche d’attacco analoghe se rivolte verso le proprie organizzazioni. Oltre a ciò, è importante considerare che l’uso di infrastrutture proxy da parte degli attori della minaccia è generalmente più probabile che generi allarmi legati a Microsoft Entra ID Protection a causa di inconsistenze nei modelli di comportamento degli utenti rispetto all’attività legittima.
E’ cruciale non sottovalutare la capacità di questi attori di sfruttare tecniche avanzate per compromettere i meccanismi di autenticazione all’interno di un’organizzazione per espandere l’accesso ed eludere il rilevamento. Di conseguenza, è di vitale importanza che le organizzazioni adottino un approccio olistico nella gestione della cybersecurity, che tenga conto non solo dell’impatto immediato degli attacchi ma anche delle strategie a medio e lungo termine.