Cozy Bear auf der Spur – Tracking Cozy Bear

Die US-Regierung hat diesen Bedrohungsakteur als APT29 (Advanced Persistent Threat) klassifiziert. Die Gruppe hat vielen andere Namen, darunter CozyCar, The Dukes, CozyDuke, Midnight Blizzard (wie Microsoft sie nennt), Dark Halo, NOBELIUM und UNC2452. Meistens bekannt ist sie jedoch unter dem Namen Cozy Bear. Diese Hackergruppe hat sich zu Recht den Ruf erworben, eine der fortschrittlichsten und am schwersten zu fassenden Spionagegruppen der Welt zu sein.

Nach der Auswertung von Überwachungskameraaufnahmen stellte die niederländische Regierung fest, dass der russische Auslandsgeheimdienst (oder SVR) diese Gruppe leitet. Zu den Hauptzielen von APT29 gehört die Beschaffung politischer, wirtschaftlicher und militärischer Informationen, um sich Wettbewerbsvorteile zu verschaffen, geopolitische Ziele zu unterstützen und den Einfluss Russlands auf der Weltbühne zu stärken. Das langfristige, verdeckte Vorgehen der Gruppe spiegelt ihr Bestreben wider, sich dauerhaft Zugang zu sensiblen Informationen zu verschaffen, um strategische Operationen über einen längeren Zeitraum durchführen zu können.

Branchenexperten sind sich einig, dass dieser Bedrohungsakteur 2008 gegründet wurde und seit 2010 Regierungseinrichtungen, Denkfabriken und kritische Infrastrukturen ins Visier genommen hat. Seitdem wurde Cozy Bear mit mehreren hochkarätigen Cyberangriffen in Verbindung gebracht, darunter der Angriff auf das Democratic National Committee (DNC) im Jahr 2016, der Angriff auf die Lieferkette von SolarWinds im Jahr 2019 und der Angriff auf das Republican National Committee (RNC) im Jahr 2021. Dieser Bedrohungsakteur ist dafür bekannt, extrem geduldig und vorsichtig zu sein. Cozy Bear bleibt manchmal jahrelang in einem Netzwerk, wenn das Ziel wertvoll genug ist.

Kurze Anmerkung: Interessant ist, dass die SolarWinds-Sicherheitsverletzung das erste Mal war, dass eine Angriffsmethode namens Golden SAML in freier Wildbahn dokumentiert wurde. Die Angriffsmethode wurde erstmals von Shaked Reiner von CyberArk Labs im Jahr 2017 entdeckt.

Was bei Microsoft passiert ist (was wir bisher wissen)

Am 12. Januar entdeckte Microsoft einen Bedrohungsakteur, der sich Zugang zu einem kleinen Prozentsatz der E-Mail-Konten des Unternehmens verschaffte und E-Mails und angehängte Dokumente von hochrangigen Zielpersonen exfiltrierte, darunter von Führungskräften, Cybersicherheits- und Rechtsteams sowie anderen internen Mitarbeiteridentitäten.

Laut den Details, die Microsoft zum Zeitpunkt des Verfassens dieses Artikels zur Verfügung gestellt hat, scheint das ursprüngliche Ziel des Angriffs die Informationsbeschaffung gewesen zu sein. Sobald Cozy Bear in den E-Mail-Accounts der Zielpersonen war, suchte er nach spezifischen Informationen über, nun ja, Cozy Bear. Wahrscheinlich wollte die Gruppe ihren Gegner (die Nachrichtendienste, die Informationen über ihn sammelten) besser verstehen und herausfinden, mit welchen Gegenmaßnahmen er angelockt und gestoppt werden könnte. Beispiele für Dinge, an denen der Bedrohungsakteur interessiert sein könnte, sind Indicators of Compromise (IoC), die vom Angreifer genutzte Cloud-Infrastruktur, IP-Bereiche und bekannte Taktiken, Techniken und Verfahren (TTPs).

Analyse der Microsoft-Sicherheitslücke

Aus den von Microsoft am 19. Januar zur Verfügung gestellten Informationen geht hervor, dass sich der Angreifer über einen Passwort-Spray-Angriff Zugang zu einem „Legacy, non-production test tenant account“ verschafft hat.

Passwort-Spraying ist ein Brute-Force-Angriff, bei dem der Angreifer langsam eine Liste von Passwörtern gegen Konten von verschiedenen Quell-IP-Adressen ausprobiert. Bei diesem einfachen Angriff wird die Anzahl der Anfragen unter der Standardgrenze gehalten, um schnelle Anmeldeversuche von einzelnen IP-Adressen zu verhindern. Diese Technik hilft dem Angreifer, eine Entdeckung zu vermeiden, indem Benutzerkonten nach mehreren fehlgeschlagenen Anmeldeversuchen nicht gesperrt werden, eine übliche Funktion zur Erkennung und Reaktion auf Identitätsbedrohungen (ITDR), die in Lösungen für das Zugriffsmanagement und die Verwaltung privilegierter Zugriffe (PAM) angeboten wird. Diese Art von Angriff ist wesentlich langsamer, aber auch schwieriger zu erkennen. Daher hat Passwort-Spraying eine viel höhere Erfolgschance.

Mit dieser Technik kann der Angreifer das Konto kompromittieren und sich Zugang verschaffen. Handelt es sich um ein öffentliches Konto, stellt sich die Frage, warum die Multi-Faktor-Authentifizierung (MFA) nicht Teil des Authentifizierungsprozesses war.

In diesem Fall waren die Berechtigungen eingeschränkt. Das Testkonto hatte jedoch Zugriff auf eine OAuth-Anwendung, die erweiterten Zugriff auf die Unternehmensumgebung hatte. Obwohl dieses Konto als „Legacy“-Konto klassifiziert war, hatte es dennoch Zugriff auf die Produktionssysteme. Diese Lücke ist für viele Unternehmen ein bekannter blinder Fleck. Selbst mit den besten technischen Kontrollen, um den Zugriff mit den niedrigsten Privilegien zu implementieren, bleiben Menschen und Prozesse (wie z. B. die kontinuierliche Überprüfung von Berechtigungen) wesentliche Elemente von Identitätssicherheitsprogrammen.

Zu diesem Zeitpunkt erstellte der Angreifer eine Reihe bösartiger OAuth-Anwendungen, die es ihm ermöglichten, sich mehrfach in das Ziel einzuschleusen, wodurch die Persistenz erhöht und die Arbeit des Verteidigers noch schwieriger gemacht wurde. Anschließend erstellte der Angreifer ein neues Benutzerkonto, um den anderen neu erstellten und bösartigen OAuth-Anwendungen Zugriff auf die Microsoft-Unternehmensumgebung zu gewähren. Dann nutzte der Angreifer die ursprüngliche kompromittierte Legacy-Test-OAuth-Anwendung, um den neu erstellten OAuth-Anwendungen die Office 365 Exchange Online-Rolle *full_access_as_app* zu gewähren. Diese Rolle gewährt einer Anwendung in der Regel weitreichende Zugriffsrechte, die in diesem Fall den Zugriff auf Zielpostfächer ermöglichten.

Die hier gewährte Berechtigung ist von Bedeutung, da sie es dem Angreifer ermöglichte, E-Mails und Anhänge zu lesen und zu exfiltrieren. Diese nicht autorisierte Verbindung wurde durch die Generierung gültiger Zugriffstoken für den Exchange-Server von Microsoft hergestellt, auch wenn der ursprüngliche Benutzer dazu nicht berechtigt war.

The Cozy Bear threat actor has caused significant breaches targeting Microsoft and HPE, and more are likely to come. These recent events have sent shockwaves throughout the tech community, and for good reason.

Who’s Behind the Microsoft Attack and Why?

The U.S. government has classified this threat actor as the advanced persistent threat APT29. The group also goes by many other names, such as CozyCar, The Dukes, CozyDuke, Midnight Blizzard (as Microsoft calls them), Dark Halo, NOBELIUM and UNC2452. Most people, however, know it by the moniker Cozy Bear. This group has rightfully earned a reputation as one of the world’s most advanced and elusive espionage groups.

In reviewing security camera footage, the Dutch government determined that the Russian Foreign Intelligence Service (or SVR) led this group. APT29’s primary objectives include acquiring political, economic and military intelligence to gain a competitive advantage, supporting geopolitical goals and enhancing Russia’s influence on the global stage. The group’s long-term and covert approach reflects its commitment to achieving sustained access to sensitive information, allowing it to conduct strategic operations over an extended period.

Industry experts generally agree that this threat actor formed in 2008 and has been targeting government entities, think tanks and critical infrastructure since 2010. Cozy Bear has since been linked to several high-profile cyber-attacks, including the 2016 breach of the Democratic National Committee (DNC), the SolarWinds supply chain attack of 2019 and the Republican National Committee (RNC) in 2021. This threat actor is known to be extremely patient and cautious. Cozy Bear sometimes dwells inside a network for years if the target is valuable enough.

Quick aside: An interesting thing to note is that the SolarWinds breach was the first time an attack method called Golden SAML was documented in the wild. The attack method was first discovered by CyberArk Labs’ Shaked Reiner in 2017.

What Happened to Microsoft (What We Know So Far)

On Jan. 12, Microsoft detected a threat actor who gained access to a small percentage of corporate email accounts, exfiltrated emails and attached documents of high-value targets, including those of senior leadership, cybersecurity and legal teams, along with other internal employee identities.

Based on the details provided by Microsoft at the time of this writing, it appears the initial objective of the attack was to acquire information. Once inside target email accounts, Cozy Bear searched for specific information about, well, Cozy Bear. The group likely wanted to better understand its adversary (the intelligence teams gathering information on it) and discover the countermeasures intended to lure and stop it. Examples of what the threat actor might be interested in include indicators of compromise (IoC), exposed cloud infrastructure used by the attacker, IP ranges and known tactics, techniques and procedures (TTPs).

Analyzing the Microsoft Breach

Based on the information provided by Microsoft on Jan. 19, it appears the threat actor gained access to a “legacy, non-production test tenant account” through a password spray attack.

Password spraying is a brute-force attack where the attacker slowly tries a list of passwords against accounts from various source IP addresses. This simple attack keeps the number of requests below the standard rate limit to stop rapid login attempts from single IP addresses. This technique helps its attacker avoid detection by not locking out user accounts due to multiple failed login attempts, a common identity threat detection and response (ITDR) capability offered in access management and privileged access management (PAM) solutions. This type of attack is significantly slower but much more difficult to detect. Subsequently, password spraying has a much higher chance of succeeding.

Using this technique, the attacker compromised and accessed the account. The question that comes to mind is, if this was publicly facing, why was multi-factor authentication (MFA) not part of the authentication flow?

In this situation, the permissions set was limited. However, the test account had access to an OAuth application that had elevated access into their corporate environment. Although this was deemed a “legacy” account, it still was authorized to access the production systems. This coverage gap is a familiar blind spot for many organizations; even with great technical controls to implement least privilege access, people and processes (such as ongoing entitlement reviews) remain essential elements of identity security programs.

At this point, the attacker created a series of malicious OAuth applications that enabled them to have multiple hooks into the target, providing higher persistence while making the defender’s job even harder. Afterward, the threat actor created a new user account to grant access to the Microsoft corporate environment for the other newly created and malicious OAuth applications. Then, the attacker used the initial compromised legacy test OAuth application to grant the newly created OAuth apps the Office 365 Exchange Online *full_access_as_app* role. This role typically grants extensive access and privileges to an application – which, in this case, allowed access to target mailboxes.

The granted privilege here is meaningful because it enabled the adversary to read and exfiltrate emails and attachments. This unauthorized connection was accomplished by generating valid access tokens to Microsoft’s Exchange server, even if the original user was not allowed to do so.