El viernes, Microsoft reveló que había sido víctima de un hackeo realizado por espías del gobierno ruso. Ahora, una semana después, el gigante tecnológico afirmó que no era el único objetivo de la operación de espionaje.
En una nueva entrada del blogMicrosoft dijo que «el mismo actor ha estado apuntando a otras organizaciones y, como parte de nuestros procesos de notificación habituales, hemos comenzado a notificar a estas organizaciones objetivo».
En este punto, no está claro a cuántas organizaciones se dirigieron los piratas informáticos respaldados por Rusia.
Contáctenos
¿Tienes más información sobre este truco? Nos encantaría saber de usted. Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico lorenzo@techcrunch.com. También puede ponerse en contacto con TechCrunch a través de caída segura.
Cuando TechCrunch le pidió que proporcionara un número específico de víctimas que había notificado hasta ahora, un portavoz de Microsoft declinó hacer comentarios.
Microsoft identificó a los piratas informáticos como el grupo al que llama Ventisca de medianoche. Se cree ampliamente que este grupo trabaja para el Servicio de Inteligencia Exterior de Rusia, o SVR. Otras empresas de seguridad llaman al grupo APT29 y oso acogedor.
Microsoft dijo que detectó la intrusión el 12 de enero y luego estableció que la campaña de piratería comenzó a fines de noviembre, cuando los piratas informáticos utilizaron un «ataque de pulverización de contraseñas» en un sistema heredado que no tenía habilitada la autenticación multifactor. La pulverización de contraseñas es cuando los piratas informáticos intento de acceso por fuerza bruta a las cuentas utilizando contraseñas de uso común o una lista más grande de contraseñas de violaciones de datos pasadas.
«El actor adaptó sus ataques de pulverización de contraseñas a un número limitado de cuentas, utilizando un número reducido de intentos para evadir la detección y evitar bloqueos de cuentas en función del volumen de fallas», escribió Microsoft en su última publicación de blog. “El actor de amenazas redujo aún más la probabilidad de descubrimiento al lanzar estos ataques desde una infraestructura de proxy residencial distribuida. Estas técnicas de evasión ayudaron a garantizar que el actor ocultara su actividad y pudiera persistir el ataque a lo largo del tiempo hasta tener éxito”.
Una vez que los piratas informáticos respaldados por Rusia obtuvieron acceso a una cuenta en ese sistema heredado, «utilizaron los permisos de la cuenta para acceder a un porcentaje muy pequeño de las cuentas de correo electrónico corporativas de Microsoft», según Microsoft, que aún no ha especificado cuántas cuentas de correo electrónico fueron comprometidas. .
Microsoft, sin embargo, dijo que los piratas informáticos se dirigieron específicamente a los altos ejecutivos de la compañía, así como a las personas que trabajan en los departamentos de ciberseguridad, legal y otros. Los piratas informáticos pudieron robar «algunos correos electrónicos y documentos adjuntos».
Curiosamente, los piratas informáticos estaban interesados en descubrir información sobre ellos mismos, específicamente lo que Microsoft sabe sobre ellos, dijo la compañía.
El jueves, Hewlett Packard Enterprise (HPE) reveló que Midnight Blizzard hackeó su sistema de correo electrónico alojado en Microsoft. HPE dijo que fue notificada de la violación, sin decir quién, el 12 de diciembre. La compañía dijo que según su propia investigación, los piratas informáticos “accedieron y extrajeron datos” de un “pequeño porcentaje” de buzones de correo de HPE a partir de mayo de 2023.
No está claro cómo, o si, esta violación está relacionada con la campaña de espionaje de los piratas informáticos dirigida a Microsoft, ya que HPE dijo que su incidente estaba relacionado con una intrusión anterior en la que los mismos piratas informáticos exfiltraron «un número limitado de archivos de SharePoint» de su red.
«No tenemos los detalles del incidente que Microsoft experimentó y reveló la semana pasada, por lo que no podemos vincularlos en este momento», dijo a TechCrunch el portavoz de HPE, Adam R. Bauer.
Actualizado y Microsoft se niega a hacer comentarios.