Palma de la cara: Microsoft ha publicado una nueva actualización sobre el ataque del estado-nación que descubrió en enero. Los piratas informáticos patrocinados por el Kremlin causaron daños importantes y Redmond confirma que todavía están intentando alterar sus sistemas.
El equipo de seguridad de Microsoft a principios de este año. detectó un ataque en sus sistemas que había estado en curso desde noviembre de 2023. Los culpables fueron identificados como el grupo ruso de ciberespionaje conocido como Midnight Blizzard, Apt29, Nobelium o Cozy Bear. Microsoft inicialmente minimizó el daño a sus redes corporativas.
Sin embargo, una mayor investigación por parte de Microsoft ha descubierto evidencia de intrusiones adicionales por parte de los piratas informáticos de Midnight Blizzard en las últimas semanas. Estos espías del Kremlin utilizaron información extraída del ataque inicial para obtener acceso no autorizado adicional, logrando cierto éxito.
Los piratas informáticos violaron algunos de los repositorios de código fuente de Microsoft y «sistemas internos» no especificados. Hasta la fecha, Redmond no ha encontrado evidencia de que los sistemas alojados de cara al cliente (incluida la plataforma Azure) se hayan visto comprometidos. Sin embargo, esta situación puede evolucionar a medida que avance la investigación en las próximas semanas.
Microsoft declaró inicialmente que no había evidencia de una posible intrusión en los entornos de los clientes, los sistemas de producción y los archivos de código fuente de la empresa. La investigación en curso ha revelado intentos adicionales por parte de Midnight Blizzard de utilizar varios «secretos» robados en el ataque original para nuevas iniciativas de piratería.
Algunos de estos secretos se originaron en correos electrónicos intercambiados entre Microsoft y sus clientes. La compañía se ha comunicado con todas las partes afectadas para recomendar «medidas atenuantes» apropiadas. En enero, Midnight Blizzard comprometió una cuenta de prueba heredada que no era de producción mediante un ataque de pulverización de contraseñas: un intento de adivinar la contraseña de un usuario conocido a partir de una lista de contraseñas comunes.
Según Microsoft, la pulverización de contraseñas y otros ataques de fuerza bruta de Midnight Blizzard se multiplicaron por diez en febrero en comparación con el ya «gran volumen» de ataques de enero de 2024. Los piratas informáticos del Kremlin están mostrando un «compromiso significativo» sostenido de recursos, coordinación y enfoque para atacar los sistemas de Microsoft. Existe la preocupación de que puedan aprovechar la información recién robada para identificar áreas de ataque adicionales. Esto muestra la sofisticación y la naturaleza sin precedentes de los ciberataques a los Estados-nación.