Microsoft reveló el viernes que fue el objetivo de un ataque de un estado-nación a sus sistemas corporativos que resultó en el robo de correos electrónicos y archivos adjuntos de altos ejecutivos y otras personas en los departamentos legales y de ciberseguridad de la compañía.
El fabricante de Windows atribuyó el ataque a un grupo ruso de amenazas persistentes avanzadas (APT) al que rastrea como Ventisca de medianoche (anteriormente Nobelium), que también se conoce como APT29, BlueBravo, Cloaked Ursa, Cozy Bear y The Dukes.
Dijo además que inmediatamente tomó medidas para investigar, interrumpir y mitigar la actividad maliciosa tras su descubrimiento el 12 de enero de 2024. Se estima que la campaña comenzó a finales de noviembre de 2023.
«El actor de amenazas utilizó un ataque de pulverización de contraseña para comprometer una cuenta de inquilino de prueba heredada que no es de producción y ganar un punto de apoyo, y luego utilizó los permisos de la cuenta para acceder a un porcentaje muy pequeño de las cuentas de correo electrónico corporativas de Microsoft, incluidos miembros de nuestro equipo de liderazgo senior y empleados de nuestro departamento de ciberseguridad, legal y otros. funciones y exfiltró algunos correos electrónicos y documentos adjuntos», dijo Microsoft dicho.
Redmond dijo que la naturaleza del objetivo indica que los actores de amenazas buscaban acceder a información relacionada con ellos mismos. También enfatizó que el ataque no fue el resultado de ninguna vulnerabilidad de seguridad en sus productos y que no hay evidencia de que el adversario haya accedido a entornos de clientes, sistemas de producción, código fuente o sistemas de inteligencia artificial.
El gigante informático, sin embargo, no reveló cuántas cuentas de correo electrónico fueron infiltradas ni a qué información se accedió, pero dijo que se trataba del proceso de notificar a los empleados que se vieron afectados como resultado del incidente.
El traje de pirateríaque anteriormente fue responsable del alto perfil Compromiso de la cadena de suministro de SolarWindsha señalado a Microsoft dos veces, una en diciembre de 2020 para código fuente del sifón relacionado con los componentes de Azure, Intune y Exchange, y una segunda vez violando a tres de sus clientes en junio de 2021 mediante pulverización de contraseñas y ataques de fuerza bruta.
«Este ataque resalta el riesgo continuo que representan para todas las organizaciones los actores de amenazas de estados-nación con buenos recursos como Midnight Blizzard», dijo el Centro de Respuesta de Seguridad de Microsoft (MSRC).