Campanha de hackers afeta centenas de contas Microsoft Azure

Pesquisadores da Proofpoint revelaram recentemente uma campanha de apropriação indevida de contas na nuvem, afetando ambientes e usuários do Microsoft Azure, entre eles executivos de nível sênior.  Detectada no final de novembro de 2023, a ameaça ainda está ativa em fevereiro de 2024.

Segundo a Proofpoint, a campanha envolve técnicas de phishing e controle de contas na nuvem, usando iscas individualizadas em documentos compartilhados. Por exemplo, alguns documentos incluem links do tipo “Ver documento” que, ao serem clicados, redirecionam os usuários para uma página de phishing.

Aparentemente, o perfil das vítimas é bem variado, com diversos títulos em suas empresas, abrangendo centenas de usuários com funções de diretores de vendas, gerentes de contas e financeiros e até mesmo vice-presidente de operações, presidentes e CEOs.

A Proofpoint alerta que acessos iniciais bem-sucedidos dessa campanha podem gerar uma cascata de atividades não autorizadas. Por exemplo, os analistas identificaram invasores trabalhou com diferentes métodos de autenticação, como o registro de números de telefone alternativos para autenticação via SMS ou chamada telefônica. No entanto, na maioria dos casos de manipulação de MFA, o método de preferência foi adicionar um aplicativo autenticador com notificação e código.

Nessa campanha, os invasores também podem ter acesso e fazer o download de arquivos confidenciais, como lista de ativos financeiros, protocolos de segurança internos e credenciais de usuários. Ainda podem invadir caixas de correio eletrônico, realizar movimentos laterais nas redes afetadas e explorar contas de usuários específicos para fazer ameaças usando phishing personalizado. São capazes de criar regras de ofuscação para encobrir rastros e apagar evidências de atividades mal-intencionadas das caixas de correio das vítimas. E podem ainda conduzir fraudes financeiras, enviando mensagens internas de e-mail para os departamentos de Recursos Humanos e Financeiro das organizações afetadas.

A análise do ataque feita pela Proofpoint revelou vários proxies, serviços de alojamento de dados e domínios sequestrados que constituem a infraestrutura operacional da campanha. Foram observados invasores empregando serviços de proxy para alinhar a origem geográfica aparente das atividades não autorizadas à das potenciais vítimas, evitando políticas de delimitação de região. Além disso, o uso de serviços de proxy são alternados com frequência para mascarar sua verdadeira localização e impor uma dificuldade adicional para bloqueio de atividades mal-intencionadas.

Além do uso de serviços de proxy, os invasores utilizam determinados ISPs locais de linha fixa que podiam expor suas localizações geográficas. Algumas dessas fontes não-proxy estão na Rússia e na Nigéria.

Puxão de orelha

Em meados de 2023, o senador norte-americano Ron Wyden enviou uma carta à Agência de Segurança Cibernética e de Infraestrutura (CISA), ao Departamento de Justiça e à Comissão Federal de Comércio (FTC) pedindo a responsabilização da Microsoft por práticas negligentes de cibersegurança que têm permitido atos de espionagem por parte da China contra o governo dos Estados Unidos.

Do lado da iniciativa privada, a Tenable, empresa que oferece soluções de gestão de exposição cibernética, também já estava investigando potenciais acessos não autorizados à plataforma Microsoft Azure e serviços relacionados. Em um indício de que se tratava de uma falha crítica, a equipe da Tenable descobriu rapidamente segredos de autenticação de um banco e imediatamente notificou a Microsoft.

Ao contrário do que se esperava, foram necessários mais de 90 dias para a Microsoft implementar uma correção parcial para um problema que poderia levar à violação das redes e serviços de vários clientes. Segundo a Tenable, a Microsoft afirmou na época que resolveria o problema até o final de setembro de 2023. No entanto, com o incidente da atual campanha identificada pela Proofpoint, podemos imaginar que a vulnerabilidade ainda não foi eliminada por completo.

Novo executivo

Em meio a esse incidente, Ahmed Shihab, vice-presidente de hardware de infraestrutura da Amazon Web Services (AWS), migrou para a rival Microsoft para atuar em serviços de  armazenamento Azure como vice-presidente da área. Respondendo ao contato da CRN, a Microsoft confirmou a contratação de Shihab, mas não deu detalhes sobre a nova função e responsabilidades do executivo. A contratação também ocorre em um momento em que a Amazon passa por uma onda de demissões em cargos executivos da divisão AWS, parte de uma medida iniciada em abril de 2023 para reduzir custos. A previsão era de que mais 9 mil funcionários de diversas unidades de negócios, incluindo a AWS, seriam afetados.