A Microsoft afirma que o grupo de hackers russo 'Midnight Blizzard' acessou recentemente alguns de seus sistemas internos e repositórios de código-fonte usando segredos de autenticação roubados durante um ataque cibernético em janeiro.
Em janeiro, a Microsoft divulgou que o Midnight Blizzard (também conhecido como NOBELIUM) havia violado servidores de e-mail corporativos após realizar um ataque de pulverização de senhas que permitiu o acesso a uma conta de locatário de teste não produtiva.
Um post de blog posterior revelou que esta conta de teste não tinha autenticação de múltiplos fatores habilitada, permitindo que os atores da ameaça acessassem o sistema da Microsoft.
Esta conta de locatário de teste também tinha acesso a um aplicativo OAuth com acesso elevado ao ambiente corporativo da Microsoft, permitindo que os atores da ameaça acessassem e roubassem dados de caixas de correio corporativas, incluindo membros da equipe de liderança da Microsoft e funcionários dos departamentos de segurança cibernética e jurídico.
A empresa acredita que os atores da ameaça violaram algumas dessas contas de e-mail para saber o que a Microsoft sabia sobre eles.
Hoje, a Microsoft diz que o Midnight Blizzard está usando segredos encontrados nos dados roubados para acessar alguns dos sistemas e repositórios de código-fonte da empresa nas últimas semanas.
"Nas últimas semanas, vimos evidências de que o Midnight Blizzard está usando informações inicialmente exfiltradas de nossos sistemas de e-mail corporativos para obter, ou tentar obter, acesso não autorizado", lê-se em um novo post de blog do Centro de Resposta de Segurança da Microsoft.
"Isto incluiu acesso a alguns dos repositórios de código-fonte e sistemas internos da empresa.
Até o momento, não encontramos evidências de que sistemas voltados para o cliente hospedados pela Microsoft tenham sido comprometidos."
Embora a Microsoft não tenha explicado com precisão o que são esses "segredos", eles provavelmente são tokens de autenticação, chaves de API, ou credenciais.
A Microsoft diz que começaram a entrar em contato com os clientes cujos segredos foram expostos aos atores da ameaça em e-mails roubados entre eles e a Microsoft.
"É evidente que o Midnight Blizzard está tentando usar segredos de diferentes tipos que encontrou.
Alguns desses segredos foram compartilhados entre os clientes e a Microsoft em e-mail, e à medida que os descobrimos em nosso e-mail exfiltrado, temos entrado e estamos entrando em contato com esses clientes para ajudá-los a tomar medidas de mitigação", prosseguiu a Microsoft.
A empresa diz que o Midnight Blizzard está aumentando seus ataques de pulverização de senhas contra sistemas alvo, observando um aumento de dez vezes em fevereiro em comparação com o volume que viram em janeiro de 2024.
Uma pulverização de senhas é um tipo de ataque de força bruta em que os atores da ameaça coletam uma lista de possíveis nomes de login e então tentam entrar em todos eles usando uma longa lista de possíveis senhas.
Se uma senha falhar, eles repetem esse processo com outras senhas até esgotá-las ou violar com sucesso a conta.
Por essa razão, as empresas devem configurar o MFA em todas as contas para prevenir o acesso, mesmo que as credenciais sejam adivinhadas corretamente.
Em um formulário 8-K alterado apresentado à SEC, a Microsoft diz que aumentou a segurança em toda a sua organização para protegê-la contra atores avançados de ameaças persistentes.
"Aumentamos nossos investimentos em segurança, a coordenação e a mobilização em toda a empresa, e melhoramos nossa capacidade de nos defender e proteger nosso ambiente contra essa ameaça persistente avançada", lê-se no arquivo 8-K.
"Continuamos a coordenar com as agências federais de aplicação da lei em relação à sua investigação em curso sobre o ator da ameaça e o incidente."
Midnight Blizzard (também conhecido como Nobelium, APT29 e Cozy Bear) é um grupo de hackers patrocinado pelo estado e ligado ao Serviço de Inteligência Estrangeira da Rússia (SVR).
Os hackers ganharam destaque após realizar o ataque à cadeia de suprimentos SolarWinds em 2020, que permitiu aos atores da ameaça violar várias empresas, incluindo a Microsoft.
A Microsoft mais tarde confirmou que o ataque permitiu ao Midnight Blizzard roubar o código-fonte de um número limitado de componentes Azure, Intune e Exchange.
Em junho de 2021, o grupo de hackers mais uma vez violou uma conta corporativa da Microsoft, permitindo-lhes acessar as ferramentas de suporte ao cliente.
Desde então, o grupo de hackers foi vinculado a um grande número de ataques de ciberespionagem contra países da OTAN e da UE, visando embaixadas e agências governamentais.
Além de conduzir ataques de ciberespionagem e roubo de dados, o Nobelium é conhecido por desenvolver malwares personalizados para usar em seus ataques.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...