Storm-2949 Εκμεταλλεύεται την Επαναφορά Κωδικού του Microsoft 365 για να Αποσπάσει Δεδομένα από το Cloud

Storm-2949 Εκμεταλλεύεται την Επαναφορά Κωδικού του Microsoft 365 για να Αποσπάσει Δεδομένα από το Cloud

Η Microsoft δημοσίευσε λεπτομέρειες για μια εκλεπτυσμένη πολυφασική εκστρατεία που διεξήγαγε ένας παράγοντας απειλής γνωστός ως Storm-2949, στοχεύοντας οργανισμούς που χρησιμοποιούν περιβάλλοντα Microsoft 365 και Azure. Αυτό που κάνει αυτή την επίθεση σε διαπιστευτήρια cloud κατά του Microsoft 365 ιδιαίτερα εντυπωσιακή είναι το σημείο εισόδου: μια λειτουργία που οι περισσότεροι διαχειριστές θεωρούν ρουτίνα και χαμηλού κινδύνου, συγκεκριμένα η αυτοεξυπηρέτηση επαναφοράς κωδικού πρόσβασης (SSPR). Μόλις εισήλθαν, οι επιτιθέμενοι κινήθηκαν αθόρυβα μέσω του OneDrive, του SharePoint και βάσεων δεδομένων SQL, αποσπώντας δεδομένα υψηλής αξίας πριν γίνει αντιληπτή η παραβίαση.

Αυτή η εκστρατεία είναι μια αυστηρή υπενθύμιση ότι οι πλατφόρμες cloud είναι τόσο ασφαλείς όσο οι ρυθμίσεις και οι υποθέσεις που χτίζονται γύρω τους.

Πώς η Storm-2949 Οπλοποίησε την Αυτοεξυπηρέτηση Επαναφοράς Κωδικού

Η αυτοεξυπηρέτηση επαναφοράς κωδικού πρόσβασης είναι μια ευρέως διαδεδομένη λειτουργία ευκολίας. Επιτρέπει στους εργαζόμενους να ανακτήσουν την πρόσβαση στον λογαριασμό τους χωρίς να επικοινωνήσουν με το τμήμα Πληροφορικής, μειώνοντας την επιβάρυνση του helpdesk και τον χρόνο διακοπής. Οι περισσότερες ομάδες ασφαλείας την αντιμετωπίζουν ως ακίνδυνη. Η Storm-2949 την αντιμετώπισε ως πόρτα.

Κάνοντας κατάχρηση της λειτουργίας SSPR, ο παράγοντας απειλής κατάφερε να παραβιάσει ταυτότητες χρηστών χωρίς να χρειαστεί να σπάσει κωδικούς με brute force ή να αναπτύξει κακόβουλο λογισμικό. Η επίθεση εκμεταλλεύτηκε αδυναμίες στον τρόπο ρύθμισης ή επαλήθευσης του SSPR, επιτρέποντας στην ομάδα να αναλάβει τον έλεγχο νόμιμων λογαριασμών. Μόλις επαναφέρθηκαν τα διαπιστευτήρια και αποκαταστάθηκε η πρόσβαση, οι επιτιθέμενοι ενσωματώθηκαν στην κανονική δραστηριότητα των χρηστών, κάνοντας τον εντοπισμό βάσει συμπεριφοράς σημαντικά πιο δύσκολο.

Αυτή η προσέγγιση είναι αξιοσημείωτη επειδή παρακάμπτει πολλά από τα σήματα που τα εργαλεία ασφαλείας τελικών σημείων έχουν σχεδιαστεί να εντοπίζουν. Δεν υπάρχει κακόβουλο εκτελέσιμο, ύποπτη λήψη ή προφανής υπογραφή εισβολής. Ο επιτιθέμενος απλά συνδέεται ως έγκυρος χρήστης.

Ποια Δεδομένα Εκτέθηκαν — και Γιατί η Αποθήκευση στο Cloud Είναι Στόχος Υψηλής Αξίας

Μετά την αρχική πρόσβαση, η Storm-2949 κινήθηκε μέσα από το οικοσύστημα Microsoft 365 και Azure με σαφή στόχο: να αποσπάσει όσο το δυνατόν περισσότερα δεδομένα υψηλής αξίας. Το OneDrive και το SharePoint, που χρησιμοποιούνται στα περισσότερα επιχειρηματικά περιβάλλοντα για αποθήκευση εγγράφων και συνεργασία, ήταν οι κύριοι στόχοι. Βάσεις δεδομένων SQL που συνδέονταν με την υποδομή Azure επίσης προσπελάστηκαν και έγινε εξαγωγή δεδομένων.

Η κλίμακα όσων αποθηκεύουν οι σύγχρονοι οργανισμοί σε αυτές τις υπηρεσίες τις καθιστά προφανή στόχο για εκλεπτυσμένους παράγοντες απειλών. Επιχειρηματικά συμβόλαια, οικονομικά αρχεία, δεδομένα πελατών, εσωτερικές επικοινωνίες και ιδιόκτητη έρευνα συχνά βρίσκονται όλα στο SharePoint ή το OneDrive. Οι βάσεις δεδομένων SQL που συνδέονται με το Azure συχνά περιέχουν δομημένα επιχειρησιακά δεδομένα που μπορούν να εμπορευματοποιηθούν ή να χρησιμοποιηθούν για επακόλουθες επιθέσεις.

Αυτό το μοτίβο μοιάζει πολύ με ό,τι έχει παρατηρηθεί σε άλλα μεγάλης κλίμακας περιστατικά συλλογής διαπιστευτηρίων. Η επίθεση vishing των ShinyHunters που εξέθεσε 40 εκατομμύρια αρχεία της Charter Communications ακολούθησε παρόμοια λογική: να αποκτήσουν πρόσβαση που φαίνεται νόμιμη και μετά να αποσπάσουν όσο το δυνατόν περισσότερα δεδομένα προτού αντιδράσουν οι αμυνόμενοι. Η αποθήκευση στο cloud συγκεντρώνει τεράστια αξία σε ένα σημείο, το οποίο είναι ακριβώς αυτό που την καθιστά στόχο.

Γιατί οι Επιθέσεις με Βάση τα Διαπιστευτήρια Παρακάμπτουν τις Παραδοσιακές Άμυνες

Η παραδοσιακή αρχιτεκτονική ασφαλείας χτίστηκε γύρω από την ιδέα ότι οι επιτιθέμενοι εισβάλλουν. Εκμεταλλεύονται ευπάθειες λογισμικού, αναπτύσσουν κακόβουλο λογισμικό ή υποκλέπτουν κίνηση δικτύου. Οι άμυνες περιμέτρου, τα εργαλεία προστασίας από ιούς και τα συστήματα ανίχνευσης εισβολών σχεδιάστηκαν για να εντοπίζουν αυτές τις συμπεριφορές.

Οι επιθέσεις με βάση τα διαπιστευτήρια ανατρέπουν αυτή την υπόθεση. Ο επιτιθέμενος δεν εισβάλλει· μπαίνει απλά μέσα. Όταν η Storm-2949 χρησιμοποιεί το SSPR για να αναλάβει τον έλεγχο ενός νόμιμου λογαριασμού, κάθε επόμενη ενέργεια φαίνεται σαν ο χρήστης να εργάζεται κανονικά. Τα αρχεία πρόσβασης αρχείων δείχνουν μια αναγνωρισμένη ταυτότητα. Η κίνηση δικτύου προέρχεται από αναμενόμενες υπηρεσίες. Τα όρια ειδοποιήσεων που έχουν ρυθμιστεί για να εντοπίζουν ανώμαλη συμπεριφορά μπορεί να μην ενεργοποιηθούν ποτέ.

Αυτή είναι η ίδια κατηγορία κινδύνου που καθιστά τις ευπάθειες σε προγράμματα περιήγησης και πλατφόρμες τόσο επικίνδυνες. Ερευνητές στο Pwn2Own Berlin 2026 έδειξαν πώς zero-days στα Windows 11 και τον Edge θα μπορούσαν να συνδυαστούν για να αποκτηθεί βαθιά πρόσβαση στο σύστημα, καταδεικνύοντας ότι ακόμη και αξιόπιστες, mainstream πλατφόρμες φέρουν εκμεταλλεύσιμες αδυναμίες. Η εκστρατεία της Storm-2949 δείχνει ότι η υποδομή ταυτότητας στο cloud φέρει την ίδια κατηγορία κινδύνου.

Μόλις οι επιτιθέμενοι εδραιώσουν μια βάση μέσω της ταυτότητας αντί των exploits, ο περιορισμός γίνεται σημαντικά πιο περίπλοκος.

Πρακτικές Μετριασμού: MFA, Αρχεία Ελέγχου και Εξυπνότερη Ρύθμιση του Cloud

Η εκστρατεία της Storm-2949 υποδεικνύει συγκεκριμένα βήματα που μπορούν να κάνουν οι οργανισμοί και τα άτομα για να μειώσουν την έκθεση.

Ελέγξτε τη ρύθμιση του SSPR σας. Αν είναι ενεργοποιημένη η αυτοεξυπηρέτηση επαναφοράς κωδικού, επαληθεύστε ποιες μέθοδοι επαλήθευσης απαιτούνται. Οι επιλογές ανάκτησης μέσω τηλεφώνου μπορούν να υποκλαπούν ή να γίνουν αντικείμενο κοινωνικής μηχανικής. Η απαίτηση πολλαπλών παραγόντων ή ο περιορισμός του SSPR μόνο σε διαχειριζόμενες συσκευές αυξάνει σημαντικά τον πήχη για τους επιτιθέμενους.

Επιβάλετε MFA ανθεκτικό σε phishing σε όλους τους λογαριασμούς. Η τυπική πολυπαραγοντική αυθεντικοποίηση μέσω SMS προσφέρει πραγματική προστασία αλλά παραμένει ευάλωτη σε SIM-swapping και ορισμένες τακτικές κοινωνικής μηχανικής. Τα κλειδιά ασφαλείας υλικού ή οι εφαρμογές αυθεντικοποίησης που χρησιμοποιούν πρότυπα FIDO2 είναι ουσιαστικά πιο δύσκολο να καταχραστούν.

Επανεξετάστε τις πολιτικές πρόσβασης υπό όρους. Τόσο το Microsoft 365 όσο και το Azure προσφέρουν ελέγχους πρόσβασης υπό όρους που μπορούν να περιορίσουν τις συνδέσεις βάσει συμμόρφωσης συσκευής, τοποθεσίας και σημάτων κινδύνου. Πολλοί οργανισμοί έχουν αυτές τις δυνατότητες διαθέσιμες αλλά δεν τις χρησιμοποιούν.

Παρακολουθείτε για ανώμαλα μοτίβα πρόσβασης δεδομένων. Ακόμη και όταν ένας επιτιθέμενος χρησιμοποιεί νόμιμα διαπιστευτήρια, η πρόσβαση σε εκατοντάδες έγγραφα του SharePoint ή η λήψη μεγάλων όγκων αρχείων του OneDrive σε σύντομο χρονικό διάστημα θα πρέπει να ενεργοποιεί ειδοποιήσεις. Η ρύθμιση του Microsoft Defender for Cloud Apps ή ισοδύναμων εργαλείων παρακολούθησης για την επισήμανση μαζικής πρόσβασης δεδομένων είναι ένα πρακτικό επίπεδο ανίχνευσης.

Εξετάστε προστασίες σε επίπεδο δικτύου για την πρόσβαση στο cloud. Η χρήση ενός VPN για την επιβολή ότι η πρόσβαση στην υπηρεσία cloud γίνεται μόνο μέσω γνωστών, παρακολουθούμενων διαδρομών δικτύου μπορεί να βοηθήσει στον περιορισμό της επιφάνειας επίθεσης για κατάχρηση διαπιστευτηρίων από άγνωστες τοποθεσίες.

Τι Σημαίνει Αυτό Για Εσάς

Είτε διαχειρίζεστε ένα μεγάλο επιχειρηματικό περιβάλλον είτε χρησιμοποιείτε το Microsoft 365 προσωπικά για εργασία, η εκστρατεία της Storm-2949 καταδεικνύει ότι η ασφάλεια του cloud δεν είναι μια προεπιλεγμένη λειτουργία. Πλατφόρμες όπως το Microsoft 365 και το Azure παρέχουν ισχυρά εργαλεία ασφαλείας, αλλά αυτά τα εργαλεία απαιτούν σκόπιμη ρύθμιση και συνεχή παρακολούθηση για να είναι αποτελεσματικά.

Αν ο οργανισμός σας βασίζεται στην αποθήκευση στο cloud για ευαίσθητα δεδομένα, τώρα είναι η ώρα να ελέγξετε τους ελέγχους ταυτότητας και πρόσβασης. Συγκεκριμένα, επανεξετάστε ποιος έχει ενεργοποιημένο το SSPR, πώς επαληθεύεται, αν το MFA επιβάλλεται με συνέπεια και αν η παρακολούθηση πρόσβασης δεδομένων είναι ενεργή.

Το να υποθέτουμε ότι η πλατφόρμα χειρίζεται αυτόματα την ασφάλεια είναι ακριβώς η νοοτροπία που εκμεταλλεύτηκε αυτή η εκστρατεία. Λίγες ώρες ανασκόπησης των ελέγχων πρόσβασης είναι πολύ μικρότερο κόστος από το να ανακαλύψετε ότι τα δεδομένα σας στο OneDrive ή το SharePoint έχουν αθόρυβα εξαχθεί κατά τη διάρκεια ημερών ή εβδομάδων.