In questi tempi di caos geopolitico si è aperto un nuovo e preoccupante capitolo: l’attacco che Cozy Bear ha rivolto a Microsoft e HPE provocando danni importanti. E man mano che si analizzano le conseguenze di queste violazioni diventa evidente che l’entità dell’incidente sia più significativa di quanto si pensasse all’inizio.
Chi c’è dietro all’attacco a Microsoft e perché?
Il governo statunitense ha classificato questo attore come APT29. Il gruppo si fa chiamare anche con molti altri nomi, come CozyCar, The Dukes, CozyDuke, Midnight Blizzard (come lo chiama Microsoft), Dark Halo, NOBELIUM e UNC2452, anche se la maggior parte delle persone lo conosce con il soprannome di Cozy Bear. Non a caso, si è guadagnato la reputazione di uno dei gruppi di hacker più avanzati ed elusivi del mondo. Dopo un’attenta analisi, il governo olandese ha stabilito che il gruppo è legato ai servizi segreti esteri russi (o SVR). Gli obiettivi principali di APT29 sono l’acquisizione di informazioni politiche, economiche e militari per ottenere un vantaggio competitivo, sostenere gli obiettivi geopolitici e rafforzare l’influenza della Russia sulla scena mondiale. L’approccio segreto a lungo termine del gruppo riflette il suo impegno a ottenere accesso prolungato a informazioni sensibili, potendo così condurre operazioni strategiche per un periodo esteso.
Gli esperti del settore sono generalmente concordi nel ritenere che questo attore di minacce si sia formato nel 2008 e che dal 2010 abbia preso di mira enti governativi, think tank e infrastrutture critiche. Da allora, Cozy Bear è stato collegato a diversi attacchi di alto profilo, tra cui la violazione del Comitato nazionale democratico (DNC) nel 2016, l’attacco alla supply chain SolarWinds nel 2019 e il Comitato nazionale repubblicano (RNC) nel 2021. Si tratta di un gruppo hacker noto per essere estremamente paziente e cauto: Cozy Bear a volte rimane all’interno di una rete per anni prima di sferrare l’attacco.
Cosa è successo a Microsoft (e cosa sappiamo)
Il 12 gennaio Microsoft ha individuato un accesso a una piccola percentuale di account di posta elettronica aziendali. Da qui, il gruppo hacker ha esfiltrato e-mail e documenti allegati di obiettivi di alto valore, tra cui quelli della senior leadership, della cybersecurity e dei team legali, oltre ad altre identità di dipendenti interni. Una volta entrato negli account di posta elettronica colpiti, Cozy Bear ha cercato informazioni specifiche su… se stesso! È probabile che il gruppo volesse capire meglio il suo avversario (i team di intelligence che raccolgono informazioni su di lui) e scoprire le contromisure destinate ad attirarlo e fermarlo.
In base alle informazioni fornite da Microsoft il 19 gennaio, sembra che l’attore della minaccia abbia ottenuto l’accesso a un account definito “legacy, tenant di test non di produzione”, tramite un attacco di password spraying.
Il password spraying è un attacco a forza bruta in cui il cybercriminale prova lentamente un elenco di password verso account provenienti da diversi indirizzi IP sorgente. Questo semplice attacco mantiene il numero di richieste al di sotto del limite di velocità standard per bloccare i tentativi di accesso rapido da singoli indirizzi IP. Questa tecnica aiuta l’attaccante a evitare il rilevamento, non bloccando gli account a causa dei troppi tentativi di accesso falliti, funzionalità comune di rilevamento e risposta alle minacce all’identità (ITDR) offerta nelle soluzioni di gestione degli accessi e di gestione degli accessi privilegiati (PAM). Questo tipo di attacco è significativamente più lento, ma molto più difficile da rilevare. Di conseguenza, il password spraying ha una probabilità di successo molto più alta. Con questa tecnica, l’attaccante è riuscito a compromettere l’account e ad accedervi. La domanda che sorge spontanea è: se si trattava di un accesso potenzialmente pubblico, perché non era stata implementata l’autenticazione a più fattori (MFA) nel flusso di autenticazione?
In questa situazione, il set di autorizzazioni era limitato. Tuttavia, l’account di prova aveva accesso a un’applicazione OAuth con accesso elevato all’ambiente aziendale. Pur essendo considerato un account “legacy”, era comunque autorizzato ad accedere ai sistemi di produzione. Questa mancata copertura è un punto cieco familiare a molte aziende; anche con grandi controlli tecnici per implementare l’accesso con privilegio minimo, individui e processi (come le revisioni continue dei diritti) rimangono elementi essenziali dei programmi di sicurezza delle identità.
A questo punto, l’attaccante ha creato una serie di applicazioni OAuth dannose che gli hanno permesso di avere più punti di contatto con l’obiettivo, fornendo maggiore persistenza e rendendo il lavoro del difensore ancora più difficile. Successivamente, l’attore delle minacce ha creato un nuovo account utente per garantire l’accesso all’ambiente aziendale Microsoft per le altre applicazioni OAuth recenti e pericolose. Quindi, ha utilizzato l’applicazione OAuth di test legacy inizialmente compromessa per concedere alle altre appena create il ruolo *full_access_as_app* di Office 365 Exchange Online, che in genere garantisce accesso e privilegi estesi a un’applicazione che, in questo caso, consentiva l’accesso alle caselle di posta elettronica di destinazione. Il privilegio concesso è particolarmente significativo perché ha permesso all’avversario di leggere ed esfiltrare e-mail e allegati. Questa connessione non autorizzata è stata realizzata generando token di accesso validi al server Exchange di Microsoft, nonostante l’utente originale non fosse autorizzato ad accedere al server.
