Storm-2949 hyödyntää Microsoft 365:n salasanan vaihtoa imeäkseen pilvidataa

Storm-2949 hyödyntää Microsoft 365:n salasanan vaihtoa imeäkseen pilvidataa

Microsoft on julkaissut yksityiskohtia kehittyneestä monivaiheisesta kampanjasta, jonka takana on Storm-2949-nimellä seurattu toimija ja joka kohdistuu Microsoft 365- ja Azure-ympäristöjä käyttäviin organisaatioihin. Tämä Microsoft 365:n pilvipalveluihin kohdistuva identiteettihyökkäys on erityisen huomionarvoinen sisäänpääsyreitin vuoksi: kyseessä on ominaisuus, jota useimmat järjestelmänvalvojat pitävät rutiininomaisena ja matalariskisenä – itsepalvelusalasanan vaihto (SSPR). Sisään päästyään hyökkääjät liikkuivat hiljaisesti OneDriven, SharePointin ja SQL-tietokantojen kautta ja veivät arvokasta dataa ennen kuin heidät havaittiin.

Tämä kampanja on terävä muistutus siitä, että pilvialustat ovat turvallisia vain niiden ympärille rakennettujen asetusten ja oletusten verran.

Kuinka Storm-2949 aseisti itsepalvelusalasanan vaihdon

Itsepalvelusalasanan vaihto on laajalti käytössä oleva käyttömukavuusominaisuus. Sen avulla työntekijät voivat palauttaa tilinsä käyttöoikeuden ottamatta yhteyttä IT-tukeen, mikä vähentää helpdesk-kuormaa ja käyttökatkoja. Useimmat tietoturvatiimit pitävät sitä harmittomana. Storm-2949 piti sitä avoimena ovena.

Hyödyntämällä SSPR-toiminnallisuutta hyökkääjä pystyi kaappaamaan käyttäjäidentiteettejä ilman, että salasanoja tarvitsi murtaa brute forcella tai levittää haittaohjelmia. Hyökkäys käytti hyväkseen heikkouksia SSPR:n määrityksissä tai vahvistustavoissa, minkä ansiosta ryhmä pääsi hallitsemaan laillisia tilejä. Kun salasanat oli vaihdettu ja pääsy saavutettu, hyökkääjät sulautuivat normaaliin käyttäjätoimintaan, mikä vaikeutti käyttäytymiseen perustuvaa havainnointia huomattavasti.

Tämä lähestymistapa on merkittävä, koska se kiertää monet niistä signaaleista, joiden havaitsemiseen päätelaitteiden tietoturvatyökalut on suunniteltu. Ei ole haitallista suoritettavaa tiedostoa, ei epäilyttävää latausta, ei ilmeistä tunkeutumisjälkeä. Hyökkääjä yksinkertaisesti kirjautuu sisään kelvollisena käyttäjänä.

Mitä tietoja paljastui – ja miksi pilvitallennus on arvokas kohde

Saatuaan alkuvaiheen pääsyn Storm-2949 liikkui Microsoft 365- ja Azure-ekosysteemin läpi selkeä tavoite mielessään: imeä mahdollisimman paljon arvokasta tietoa. OneDrive ja SharePoint, joita käytetään useimmissa yritysympäristöissä asiakirjojen tallentamiseen ja yhteistyöhön, olivat ensisijaisia kohteita. Myös Azure-infrastruktuuriin yhdistettyjä SQL-tietokantoja päästiin käsiksi ja niistä vietiin tietoa.

Se mittakaava, jolla nykyaikaiset organisaatiot tallentavat tietoja näihin palveluihin, tekee niistä ilmeisen kohteen kehittyneille hyökkääjille. Liikesopimukset, talousraportit, asiakastiedot, sisäiset viestit ja omaan tutkimukseen perustuvat tiedot sijaitsevat usein SharePointissa tai OneDrivessa. Azureen yhdistetyt SQL-tietokannat sisältävät usein jäsenneltyä operatiivista dataa, joka voidaan muuttaa rahaksi tai käyttää jatkohyökkäyksiin.

Tämä malli muistuttaa läheisesti sitä, mitä on havaittu muissa suurissa valtakirjojen keräämiseen keskittyneissä tapahtumissa. ShinyHunters-vishing-hyökkäys, joka paljasti 40 miljoonaa Charter Communicationsin tietuetta noudatti samanlaista logiikkaa: hanki laillisen näköinen pääsy ja ime sitten niin paljon tietoa kuin mahdollista ennen kuin puolustajat reagoivat. Pilvitallennus keskittää valtavan arvon yhteen paikkaan, mikä tekee siitä juuri kohteen.

Miksi valtakirjapohjaiset hyökkäykset ohittavat perinteiset puolustukset

Perinteinen tietoturva-arkkitehtuuri rakennettiin ajatukselle, että hyökkääjät murtautuvat sisään. He hyödyntävät ohjelmistohaavoittuvuuksia, levittävät haittaohjelmia tai kaappaavat verkkoliikennettä. Rajapintapuolustukset, virustorjuntaohjelmat ja tunkeutumisen havaitsemisjärjestelmät suunniteltiin kaikki nappaamaan tällainen toiminta.

Valtakirjapohjaiset hyökkäykset kääntävät tämän oletuksen päälaelleen. Hyökkääjä ei murtaudu, vaan kävelee sisään. Kun Storm-2949 käyttää SSPR:ää ottamaan haltuunsa laillisen tilin, jokainen myöhempi toimenpide näyttää siltä kuin kyseinen käyttäjä työskentelisi normaalisti. Tiedostojen käyttölokeissa näkyy tunnistettu identiteetti. Verkkoliikenne tulee odotetuista palveluista. Kynnysarvot, jotka on viritetty havaitsemaan poikkeavaa toimintaa, eivät välttämättä koskaan laukea.

Tämä on sama riskiluokka, joka tekee selain- ja alustahaavoittuvuuksista niin vaarallisia. Pwn2Own Berlin 2026 -tapahtuman tutkijat osoittivat, kuinka Windows 11:n ja Edgen nollapäivähaavoittuvuuksia voitiin ketjuttaa syvällisen järjestelmäpääsyn saamiseksi, mikä havainnollistaa, että jopa luotetuissa valtavirran alustoissa on hyödynnettäviä heikkouksia. Storm-2949:n kampanja osoittaa, että pilvi-identiteetti-infrastruktuurissa on sama riskiluokka.

Kun hyökkääjät saavat jalansijan identiteetin kautta eikä haavoittuvuuksia hyödyntäen, rajaamisesta tulee huomattavasti monimutkaisempaa.

Käytännön suojautumiskeinot: Monivaiheinen tunnistautuminen (MFA), auditointilokit ja älykkäämpi pilviasetusten hallinta

Storm-2949-kampanja osoittaa konkreettisia toimenpiteitä, joita organisaatiot ja yksityishenkilöt voivat toteuttaa pienentääkseen altistumistaan.

Tarkasta SSPR-asetuksesi. Jos itsepalvelusalasanan vaihto on käytössä, varmista, mitä vahvistustapoja vaaditaan. Puhelinpohjaiset palautusvaihtoehdot voidaan kaapata tai niitä voidaan huijata. Useiden tekijöiden vaatiminen tai SSPR:n rajoittaminen vain hallituille laitteille nostaa rimaa hyökkääjille huomattavasti.

Ota käyttöön tietojenkalastelulta suojattu MFA kaikille tileille. Tavallinen tekstiviestipohjainen monivaiheinen tunnistautuminen tarjoaa todellista suojaa, mutta on yhä altis SIM-korttien vaihtamiselle ja tietyille sosiaalisen manipuloinnin taktiikoille. Laitteistopohjaiset suojausavaimet tai sovelluspohjaiset todennussovellukset, jotka käyttävät FIDO2-standardeja, ovat huomattavasti vaikeampia hyödyntää väärin.

Tarkista ehdollisen pääsyn käytännöt. Sekä Microsoft 365 että Azure tarjoavat ehdollisen pääsyn hallintaa, joilla voidaan rajoittaa kirjautumisia laitetyyppivaatimusten, sijainnin ja riskisignaalien perusteella. Monilla organisaatioilla on nämä ominaisuudet käytettävissä, mutta ne eivät käytä niitä.

Tarkkaile poikkeuksellisia tiedonhakumalleja. Vaikka hyökkääjä käyttäisi laillisia valtakirjoja, satojen SharePoint-asiakirjojen käyttäminen tai suurten OneDrive-tiedostomäärien lataaminen lyhyessä ajassa pitäisi laukaista hälytykset. Microsoft Defender for Cloud Appsin tai vastaavien valvontatyökalujen määrittäminen merkitsemään massadatan käyttö on käytännöllinen havaitsemiskerros.

Harkitse verkkotason suojauksia pilvipalveluihin pääsyyn. VPN:n käyttö pakottamaan pilvipalveluiden käyttö vain tunnettujen, valvottujen verkkopolkujen kautta voi auttaa rajoittamaan valtakirjojen väärinkäytön hyökkäyspinta-alaa tuntemattomista sijainneista.

Mitä tämä tarkoittaa sinulle

Olipa kyse suuresta yritysympäristöstä tai Microsoft 365:n henkilökohtaisesta käytöstä työssä, Storm-2949-kampanja osoittaa, että pilviturvallisuus ei ole oletusarvoisesti päällä oleva ominaisuus. Microsoft 365:n ja Azuren kaltaiset alustat tarjoavat tehokkaita tietoturvatyökaluja, mutta niiden tehokkuus edellyttää tietoista määritystä ja jatkuvaa valvontaa.

Jos organisaatiosi tallentaa arkaluonteisia tietoja pilveen, nyt on aika tarkastaa identiteetti- ja pääsynhallintasi. Erityisesti selvitä, kenellä on SSPR käytössä, miten se vahvistetaan, onko MFA otettu johdonmukaisesti käyttöön ja onko tietojen käytön valvonta aktiivista.

Olettaminen, että alusta hoitaa tietoturvan automaattisesti, on juuri se asenne, jota tämä kampanja hyödynsi. Muutama tunti pääsynhallinnan tarkastukseen on huomattavasti pienempi kustannus kuin havaita, että OneDrive- tai SharePoint-tietosi on hiljaisesti viety päivien tai viikkojen aikana.