Rosyjscy hakerzy uzyskali dostęp do wewnętrznych systemów i repozytoriów kodu Microsoft

Kilka słów o Midnight Blizzard

Uważa się, że Midnight Blizzard stanowi część rosyjskiej Służby Wywiadu Zagranicznego (SVR). Ugrupowanie jest aktywne od co najmniej 2008 roku i pozostaje jedną z najbardziej płodnych i wyrafinowanych grup hakerskich atakujących ważne cele, takie jak SolarWinds.

„Ciągły atak Midnight Blizzard charakteryzuje się trwałym, znaczącym zaangażowaniem zasobów, koordynacji i skupienia ugrupowania zagrażającego” – informuje Microsoft. „Być może wykorzystuje uzyskane informacje do gromadzenia danych pozwalających na wybranie obszarów, w których można zaatakować, i zwiększyć swoje możliwości w tym zakresie. Odzwierciedla to szerszy, bezprecedensowy krajobraz globalnych zagrożeń, zwłaszcza w zakresie wyrafinowanych ataków na państwa narodowe”.

Włamanie do Microsoft

Mówi się, że włamanie do Microsoft miało miejsce w listopadzie 2023 r., kiedy firma Midnight Blizzard przeprowadziła atak polegający na rozpylaniu hasła (tzw. atak Password Spraying), aby skutecznie zinfiltrować starsze, nieprodukcyjne konto testowego tenanta w chmurze, które nie miało włączonego uwierzytelniania wieloskładnikowego (MFA). Następnie wykorzystała je, aby uzyskać dostęp do firmowych skrzynek e-mail należących do kierownictwa wyższego szczebla, a także pracowników z działów prawnych oraz odpowiedzialnych za cyberbezpieczeństwo.

Pod koniec stycznia gigant technologiczny ujawnił, że APT29 obrał za cel inne organizacje, wykorzystując różnorodny zestaw metod dostępu początkowego, od skradzionych danych uwierzytelniających po ataki na łańcuch dostaw.

„Jest oczywiste, że Midnight Blizzard próbuje wykorzystać znalezione sekrety różnego typu. Niektóre z tych tajemnic zostały udostępnione klientom i Microsoft w wiadomościach e-mail, a gdy odkryliśmy je w naszej wydobytej wiadomości e-mail, kontaktowaliśmy się z tymi klientami i nadal kontaktujemy się z nimi, aby pomóc im w podjęciu środków zaradczych” – pisze Centrum Reagowania na Zagrożenia w poście udostępnionym w ostatni piątek.

Firma nadal utrzymuje, że ugrupowanie zagrażające nie naruszyło systemów przeznaczonych dla klientów hostowanych przez Microsoft.

W aktualizacji pierwotnego zgłoszenia SEC dotyczącego tego incydentu Microsoft stwierdził, że nie wywarł on istotnego wpływu na działalność spółki, ale jest zbyt wcześnie, by określić, czy będzie miał „wpływ na jej sytuację finansową lub wyniki operacyjne ”.

Początkowy dostęp za pośrednictwem legalnych kont

Wspólny poradnik dotyczący bezpieczeństwa opublikowany niedawno przez sojusz wywiadowczy Five Eyes ostrzega przed zmieniającą się taktyką Midnight Blizzard w zakresie pierwszego dostępu:

• brutalne wymuszanie i rozpylanie haseł (Password Spraying) do kont usługowych i kont należących do byłych pracowników organizacji ofiar,
• kradzież tokenów uwierzytelniających,
• bombardowanie MFA.

Gigant z Redmond twierdzi, że Midnight Blizzard kontynuuje działalność i że zwiększył liczbę ataków Password Spraying aż „dziesięciokrotnie w lutym w porównaniu z już dużą liczbą, jaką zaobserwowaliśmy w styczniu 2024 roku”.