Midnight Blizzard (znana również jako APT29), grupa rosyjskich hakerów powiązanych ze Służbą Wywiadu Zagranicznego (SVR), wykorzystała informacje skradzione z korporacyjnych systemów poczty elektronicznej Microsoft w celu przedostania się do repozytoriów kodu źródłowego i systemów wewnętrznych firmy.
Kilka słów o Midnight Blizzard
Uważa się, że Midnight Blizzard stanowi część rosyjskiej Służby Wywiadu Zagranicznego (SVR). Ugrupowanie jest aktywne od co najmniej 2008 roku i pozostaje jedną z najbardziej płodnych i wyrafinowanych grup hakerskich atakujących ważne cele, takie jak SolarWinds.
„Ciągły atak Midnight Blizzard charakteryzuje się trwałym, znaczącym zaangażowaniem zasobów, koordynacji i skupienia ugrupowania zagrażającego” – informuje Microsoft. „Być może wykorzystuje uzyskane informacje do gromadzenia danych pozwalających na wybranie obszarów, w których można zaatakować, i zwiększyć swoje możliwości w tym zakresie. Odzwierciedla to szerszy, bezprecedensowy krajobraz globalnych zagrożeń, zwłaszcza w zakresie wyrafinowanych ataków na państwa narodowe”.
Włamanie do Microsoft
Mówi się, że włamanie do Microsoft miało miejsce w listopadzie 2023 r., kiedy firma Midnight Blizzard przeprowadziła atak polegający na rozpylaniu hasła (tzw. atak Password Spraying), aby skutecznie zinfiltrować starsze, nieprodukcyjne konto testowego tenanta w chmurze, które nie miało włączonego uwierzytelniania wieloskładnikowego (MFA). Następnie wykorzystała je, aby uzyskać dostęp do firmowych skrzynek e-mail należących do kierownictwa wyższego szczebla, a także pracowników z działów prawnych oraz odpowiedzialnych za cyberbezpieczeństwo.
Pod koniec stycznia gigant technologiczny ujawnił, że APT29 obrał za cel inne organizacje, wykorzystując różnorodny zestaw metod dostępu początkowego, od skradzionych danych uwierzytelniających po ataki na łańcuch dostaw.
„Jest oczywiste, że Midnight Blizzard próbuje wykorzystać znalezione sekrety różnego typu. Niektóre z tych tajemnic zostały udostępnione klientom i Microsoft w wiadomościach e-mail, a gdy odkryliśmy je w naszej wydobytej wiadomości e-mail, kontaktowaliśmy się z tymi klientami i nadal kontaktujemy się z nimi, aby pomóc im w podjęciu środków zaradczych” – pisze Centrum Reagowania na Zagrożenia w poście udostępnionym w ostatni piątek.
Firma nadal utrzymuje, że ugrupowanie zagrażające nie naruszyło systemów przeznaczonych dla klientów hostowanych przez Microsoft.
W aktualizacji pierwotnego zgłoszenia SEC dotyczącego tego incydentu Microsoft stwierdził, że nie wywarł on istotnego wpływu na działalność spółki, ale jest zbyt wcześnie, by określić, czy będzie miał „wpływ na jej sytuację finansową lub wyniki operacyjne ”.
Początkowy dostęp za pośrednictwem legalnych kont
Wspólny poradnik dotyczący bezpieczeństwa opublikowany niedawno przez sojusz wywiadowczy Five Eyes ostrzega przed zmieniającą się taktyką Midnight Blizzard w zakresie pierwszego dostępu:
- brutalne wymuszanie i rozpylanie haseł (Password Spraying) do kont usługowych i kont należących do byłych pracowników organizacji ofiar,
- kradzież tokenów uwierzytelniających,
- bombardowanie MFA.
Gigant z Redmond twierdzi, że Midnight Blizzard kontynuuje działalność i że zwiększył liczbę ataków Password Spraying aż „dziesięciokrotnie w lutym w porównaniu z już dużą liczbą, jaką zaobserwowaliśmy w styczniu 2024 roku”.