Microsoft ha rivelato venerdì che l’attore minaccioso sostenuto dal Cremlino noto come Midnight Blizzard (aka APT29 o Cozy Bear) è riuscito ad accedere ad alcuni dei suoi repository di codice sorgente e sistemi interni in seguito a un attacco informatico emerso nel gennaio 2024.
Nelle ultime settimane, abbiamo visto prove che Midnight Blizzard stia utilizzando informazioni inizialmente esfiltrate dai nostri sistemi di posta elettronica aziendali per ottenere, o tentare di ottenere, accesso non autorizzato,” ha dichiarato il gigante tecnologico.
Ciò ha incluso l’accesso ad alcuni dei repository di codice sorgente e sistemi interni dell’azienda. Fino ad oggi non abbiamo trovato prove che i sistemi di Microsoft rivolti ai clienti siano stati compromessi.”
Redmond, che sta continuando a indagare sull’entità della violazione, ha affermato che l’attore minaccioso sponsorizzato dallo stato russo sta cercando di sfruttare i diversi tipi di segreti trovati, compresi quelli condivisi tra clienti e Microsoft via email.
Tuttavia, non ha divulgato quali fossero questi segreti o la scala del compromesso, anche se ha detto di aver contattato direttamente i clienti interessati. Non è chiaro quale codice sorgente sia stato accesso.
Affermando di aver aumentato i suoi investimenti in sicurezza, Microsoft ha inoltre notato che l’avversario ha aumentato i suoi attacchi di password spray fino a dieci volte in febbraio, rispetto al “già grande volume” osservato a gennaio.
L’attacco in corso di Midnight Blizzard è caratterizzato da un impegno sostenuto e significativo delle risorse, della coordinazione e del focus dell’attore minaccioso,” ha detto.
Potrebbe utilizzare le informazioni ottenute per accumulare una panoramica delle aree da attaccare e migliorare la sua capacità di farlo. Questo riflette ciò che è diventato più ampiamente un panorama delle minacce globali senza precedenti, soprattutto in termini di sofisticati attacchi di stati-nazione.”
Si dice che la violazione di Microsoft sia avvenuta nel novembre 2023, con Midnight Blizzard che ha utilizzato un attacco di password spray per infiltrarsi con successo in un account di test legacy, non di produzione, che non aveva l’autenticazione a più fattori (MFA) abilitata.
Il gigante tecnologico, alla fine di gennaio, ha rivelato che APT29 aveva preso di mira altre organizzazioni sfruttando una serie diversificata di metodi di accesso iniziale che vanno dalle credenziali rubate agli attacchi alla catena di approvvigionamento.
Midnight Blizzard è considerato parte del Servizio di Intelligence Esterna della Russia (SVR). Attivo almeno dal 2008, l’attore minaccioso è uno dei gruppi di hacking più prolifici e sofisticati, compromettendo bersagli di alto profilo come SolarWinds.
Il colpo strategico subito da Microsoft per mano di Midnight Blizzard è significativo,” ha dichiarato Amit Yoran, CEO di Tenable, in una dichiarazione condivisa con The Hacker News. “Midnight Blizzard non è una gang criminale di piccolo calibro. Sono un’organizzazione altamente professionale, sostenuta dalla Russia, che comprende appieno il valore dei dati esposti e come utilizzarli al meglio per infliggere il massimo danno.”
La pervasività di Microsoft richiede un livello di responsabilità e trasparenza molto più elevato rispetto a quanto mostrato finora. Anche ora non stanno condividendo la verità completa – ad esempio, non sappiamo ancora quale codice sorgente sia stato compromesso. Queste violazioni non sono isolate l’una dall’altra e le pratiche di sicurezza oscure di Microsoft e le dichiarazioni fuorvianti oscurano deliberatamente la verità completa.
