Microsoft ma problem z Chinami. Firma usuwa hakerskie aplikacje z Azure
Wiele firm na całym świecie używa infrastruktury Microsoft Azure, w tym aż 95 procent korporacji w rankingu Fortune 500. Jednak Azure okazuje się także interesującym rozwiązaniem także dla hakerów sponsorowanych przez chiński rząd. I to właśnie z nimi ostatnio ma na pieńku firma z Redmond.
25.09.2020 15:04
W tym roku Microsoft Threat Intelligence Center zawiesiło aż 18 aplikacji Azure Active Directory po tym, jak ustalono, że mogą być używane do przejmowania kontroli nad infrastukturą sieciową innych firm. Za ich powstanie odpowiada grupa hakerów Gadolinium, opłacana przez chiński rząd. Przechowywała również skradzione dane na platformie OneDrive i wykorzystywała je do zrealizowania różnych elementów swoich działań hakerskich.
Co ciekawe, chińska grupa hakerska nie używała własnych rozwiązań, jak to często do tej pory było ze złośliwym oprogramowaniem (malware), lecz PowerShell Empire, zmodyfikowanej, open-source'owej wersji PowerShella.
Chińscy hakerzy prawdopodobnie wykorzystali darmowe konto Azure w ramach okresu próbnego lub też skorzystali z tzw. opcji "prepaidowej". PowerShell Empire pozwolił im załadować nowe moduły przy użyciu API Microsoftu, w tym takie, które pozwalały na przejęcie kont OneDrive lub ręczne wywoływanie kodu i transfer danych między kontem atakującego a ofiary.
Microsoft po wykryciu podejrzanej aktywności był w stanie wygasić podejrzane aplikacje Azure Active Directory własnoręcznie. Firma poinformowała, że była w stanie ochronić konsumentów bez żadnych dodatkowych działań z ich strony. Amerykańska korporacja udostępniła cyfrowe sygnatury oraz nazwy kont powiązanych z grupą Gadolinum. W ten sposób użytkownicy Azure oraz organizacje będą mogły ustalić, czy padły ich ofiarą.
Gigant z Redmond jest zdania, że to dopiero początek takich ataków, ale firma zadeklarowała, że będzie tworzyć nowe mechanizmy wykrywania, aby się przed nimi bronić.