Încălcarea securității la Hewlett Packard Enterprise: acces neautorizat și extragere de date
HP a afirmat că a fost notificată în data de 12 decembrie 2023 că un atacator a reușit să acceseze serverul său de email găzduit în cloud. Ulterior, s-a constatat că hackerii au reușit să acceseze și să extragă date într-un "procent mic" din conturile de email ale angajaților din diverse departamente, inclusiv cel de securitate cibernetică.
HPE nu a furnizat detalii despre tipul datelor exfiltrate, însă consideră că acest incident este legat de un eveniment anterior din mai 2023, când hackerii au reușit să sustragă "un număr limitat de fișiere din SharePoint". SharePoint este o platformă dezvoltată de Microsoft, utilizată pentru gestionarea documentelor și colaborarea în cadrul organizațiilor, oferind instrumente pentru partajarea, stocarea și colaborarea asupra fișierelor și a altor conținuturi.
Compania a declarat că experții în securitate cibernetică au investigat incidentul și au "implementat măsuri de remediere a acestuia".
Grupul Midnight Blizzard și implicarea sa în atacuri cibernetice majore
Se presupune că actorii implicați în aceste atacuri sunt membrii grupului Midnight Blizzard, care sunt cunoscuți și sub numele de Cozy Bear. Cozy Bear este un grup cu o reputație notorie, fiind în centrul atenției începând cu anul 2020, când Agenția Națională de Securitate a acuzat grupul că a încercat să sustragă cercetări referitoare la vaccinurile COVID-19 din SUA, Marea Britanie și Canada. Grupul se axează pe colectarea unei cantități semnificative de informații, având ca obiective guvernele occidentale, furnizorii de servicii IT și institutele de cercetare din SUA și Europa.
Midnight Blizzard este un grup specializat în spionaj cibernetic, cunoscut și sub numele de APT29, Cozy Bear, The Dukes, Nobelium și Yttrium, fiind considerat unul dintre cei mai activi și sofisticați actori de amenințare cu legături la guvernul rus.
APT29, evaluat ca facând parte din Serviciul de Informații Externe al Rusiei (SVR), este responsabil pentru unele dintre cele mai importante atacuri cibernetice din ultimii ani, inclusiv atacul asupra Comitetului Național Democrat (DNC) din SUA în 2016 și compromiterea lanțului de aprovizionare SolarWinds din 2020.
Pentru cei care nu sunt familiarizați cu atacul cibernetic asupra SolarWinds, iată câteva aspecte semnificative care au contribuit la notorietatea acestui incident în comunitatea securității cibernetice:
- A fost dezvăluit pentru prima dată în decembrie 2020 și a avut un impact semnificativ asupra companiilor și instituțiilor din sectoarele public și privat;
- SolarWinds, o companie americană specializată în dezvoltarea de software pentru monitorizarea rețelelor și a infrastructurii informatice, a fost ținta atacului. Hackerii au reușit să compromită software-ul SolarWinds Orion, utilizat pe scară largă de organizații din întreaga lume;
- Atacul a permis intrușilor să obțină acces neautorizat în rețelele și sistemele victimelor, facilitând căutarea și accesarea datelor confidențiale, controlul asupra sistemelor și chiar instalarea altor programe malware și backdoor-uri;
- Atacul a fost sofisticat și a implicat mai multe etape. Hackerii au început prin a viza sistemul de livrare și actualizare a software-ului SolarWinds Orion. Au reușit să introducă un cod malware, cunoscut sub numele de "Sunburst" sau "Solorigate", care a fost distribuit automat clienților care și-au actualizat software-ul;
- Aproximativ 18.000 de clienți ai SolarWinds au fost expuși atacului, inclusiv organizații guvernamentale, companii din sectorul privat și furnizori de servicii în cloud;
- Impactul atacului a fost considerabil, afectând nu doar activitățile curente ale victimelor, ci și securitatea națională și informațiile sensibile. De asemenea, a existat un impact semnificativ asupra reputației SolarWinds și a încrederii în securitatea sa.
Participarea grupului Midnight Blizzard într-un incident de securitate similar la adresa Microsoft
Midnight Blizzard este același grup suspectat într-un atac dezvăluit de Microsoft săptămâna trecută. În acest incident, hackerii au pătruns în rețeaua companiei în noiembrie anul trecut și au reușit să sustragă emailuri și documente într-un “procent foarte mic din conturile de email ale angajaților Microsoft, inclusiv membrii echipei de conducere și angajații din departamentele de securitate cibernetică, juridică și alte funcții", conform unei declarații din partea Microsoft.
Hackerii au utilizat o tactică cunoscută sub numele de "password spraying" pentru a se infiltra în sistemele Microsoft; acest tip de atac implică încercarea unei serii de parole comune sau suspectate împotriva mai multor nume de utilizator, încercând să obțină acces la un cont sau la rețeaua companiei, evitând blocarea contului prin încercări repetate cu aceeași parolă.
Microsoft a comunicat că echipa sa de securitate a identificat atacul cibernetic pe data de 12 ianuarie 2024 și a urmărit traseul infecției, descoperind că sistemele erau compromise încă din noiembrie 2023.
Atacul nu a fost rezultatul unei vulnerabilități în produsele sau serviciile Microsoft. Până în prezent, nu există dovezi că actorul de amenințare a avut acces la mediile clienților, sistemele de producție, codul sursă sau sistemele de inteligență artificială. Microsoft va notifica clienții dacă este necesară vreo acțiune.
În plus, Microsoft a menționat că investigația este în desfășurare și că vor lua măsuri suplimentare pe baza rezultatelor acesteia.
Răspunsul HPE la incidentul de securitate și implicațiile asupra industriei
Un reprezentant al HPE a declarat că nu poate confirma dacă acest incident este legat de cel al Microsoft, deși ambele cazuri prezintă similarități. HPE a subliniat că "amplitudinea totală a cutiilor poștale și a emailurilor accesate rămâne în curs de investigare." Până în prezent, investigația HPE a relevat că atacul nu a avut un impact material asupra operațiunilor sale, dar cercetările continuă.
Cu toată gravitatea situației, evaluarea preliminară a HPE indică absența unui impact material asupra operațiunilor sale. Cu toate acestea, compania rămâne vigilentă, desfășurând o investigație și colaborând cu agențiile de aplicare a legii.
Divulgarea acestui atac cibernetic subliniază amenințarea persistentă a actorilor sponsorizați de stat în mediul digital.
Conform unui sondaj din 2023 al Ofițerilor șefi de Securitate a Informațiilor - Global Chief Information Security Officer (CISO), șapte din zece organizații sunt vulnerabile la un atac cibernetic în următorul an. Această cifră a crescut cu 20% față de anul precedent. În plus, conform a 84% dintre ofițerii intervievați din diverse industrii, companiile din Regatul Unit (UK) erau cele mai expuse la riscul unui atac cibernetic în 2023.
Hackerii vizează în mod deliberat companii de prestigiu și cu o influență semnificativă în mediul digital, precum Hewlett Packard Enterprise (HPE) și Microsoft. Pentru acești atacatori, exploatarea vulnerabilităților acestor organizații reprezintă nu doar o oportunitate de a accesa date sensibile, ci și un mijloc de a-și consolida reputația și de a-și demonstra abilitățile în lumea securității cibernetice.
Motivul pentru care insistăm întotdeauna asupra educației utilizatorilor în articolele noastre este evident: este mai bine să prevenim consecințele devastatoare ale acestor atacuri. Aceste consecințe pot include accesul neautorizat la date sensibile, compromiterea informațiilor confidențiale și un impact negativ semnificativ asupra reputației și încrederii în companiile vizate.