Ako ruskí hackeri ukradli podpisové kľúče Microsoftu a čítali vládne e-maily

Nekradli heslá. Ukradli podpisové kľúče

V roku 2024 Microsoft priznal bezprecedentný bezpečnostný incident. Ruská hackerská skupina Midnight Blizzard (známa aj ako Nobelium či Cozy Bear, napojená na ruskú rozviedku SVR) získala prístup k interným podpisovým kľúčom.

Nešlo o klasický únik hesiel. Útočníci cielili na infraštruktúru, ktorá overuje identitu všetkých aplikácií a služieb v cloude Microsoftu.

Následky: hackeri mohli generovať legitímne vyzerajúce prístupové tokeny a čítať e-maily vládnych inštitúcií USA bez toho, aby spustili alarm.

Ako sa dostali k jadru systému

Útok začal jednoducho: metódou password spraying na zle zabezpečené firemné účty. Žiadna pokročilá nula-day zraniteľnosť. Iba masové skúšanie bežných hesiel na veľké množstvo účtov.

Problém prišiel neskôr. Microsoft mal nedostatočnú segmentáciu vnútornej siete. Hackeri sa z kompromitovaných účtov prepracovali k systémom spravujúcim OAuth certifikáty a kľúče pre Exchange Online a Entra ID (bývalé Azure AD).

S ukradnutými signing keys mohli vytvárať kryptograficky platné tokeny. Pre obranné systémy vyzerali ako legitímne požiadavky priamo od Microsoftu.

Prečo je to iné než bežný hack

Pri klasickom útoku hackeri kompromitujú koncové zariadenia alebo jednotlivé účty. Tu zasiahli platformové kľúče – infraštruktúru, ktorá zabezpečuje dôveryhodnosť pre tisícky zákazníkov naraz.

Rozdiel v rozsahu: jeden ukradnutý kľúč = prístup k viacerým tenantom bez toho, aby museli lámat individuálne heslá.

Microsoft musel pristúpiť k masívnej rotácii kľúčov a revízii celej architektúry správy identity. Incident vyšetrovalo US CISA (agentúra pre kybernetickú bezpečnosť USA), ktorá verejne kritizovala Redmond za nedostatočnú ochranu kritickej infraštruktúry.

Čo to znamená pre firmy v cloude

Prvé ponaučenie: ani najväčší poskytovateľ cloudu nemá dokonalú bezpečnosť.

Odborníci odporúčajú:

• Implementovať Zero Trust aj voči vlastnému dodávateľovi cloudu
• Monitorovať anomálie v prístupových tokenoch (nezvyčajné časy prihlásení, geografické polohy, API volania)
• Vyžadovať od dodávateľa možnosť BYOK (Bring Your Own Key) – vlastné hardvérové moduly pre kryptografický materiál
• Izolovať kritické kľúče v HSM (Hardware Security Module), fyzicky oddelených od cloudovej infraštruktúry

Ďalšie riziko: ukončenie podpory starších systémov v roku 2025. Zastaraný softvér je bránou pre laterálne šírenie útočníkov v sieťach.

Reakcia Microsoftu a budúce kroky

Po kritike zo strany CISA a bezpečnostnej komunity Microsoft:

• Presunul kritické procesy do izolovaných bezpečnostných segmentov
• Sprísnil politiku secrets management (správa tajomstiev)
• Zaviedol povinné hardvérové HSM pre produkčné podpisové kľúče

Pre veľké firmy to znamená nové otázky pri výbere dodávateľa: Kde sú uložené podpisové kľúče? Kto má k nim fyzický prístup? Existuje možnosť auditovať prístup k nim?

Viac o klasifikácii hrozieb podľa Microsoftu: Čo je kyberútok.

Čo to znamená pre slovenské firmy

Spoliehať sa výlučne na bezpečnostné záruky dodávateľa cloudu je hazard.

Slovenské firmy by mali vyžadovať od IT partnerov jasné odpovede:

• Ako je chránený kryptografický materiál?
• Existuje segmentácia medzi produkčným prostredím a správou kľúčov?
• Aké nástroje monitorujú anomálie v cloudovom prostredí?

Nevyhnutné minimum: multi-factor autentifikácia, privilegovaný prístupový manažment (PAM), pravidelné bezpečnostné audity.

Incident Midnight Blizzard ukazuje: štáty sponzorujú hackerov s neobmedzenými zdrojmi. Útočia na infraštruktúru, nie len na koncové zariadenia. A ak získajú prístup k jadru systému, žiadna antivírusová ochrana nepomôže.