Microsoft reveló recientemente un ataque de un estado-nación a sus sistemas corporativos por parte de piratas informáticos patrocinados por el estado ruso. Resulta que ventanas El fabricante no fue el único objetivo de esta campaña de piratería. El mismo grupo de atacantes también ha apuntado a otras organizaciones.
Microsoft arroja más luz sobre el reciente ataque ruso
El 12 de enero, el equipo de seguridad de Microsoft detectó una brecha en sus sistemas corporativos e inmediatamente activó su proceso de respuesta para mitigar el ataque. Una investigación interna reveló que el grupo de hackers Nobelium, que se cree que trabaja para el Servicio de Inteligencia Exterior de Rusia, estaba detrás del ataque. El grupo también llevó a cabo el sofisticado Ataque de vientos solares en 2020.
Microsoft se refirió a los atacantes como Midnight Blizzard; otros nombres industriales de los piratas informáticos incluyen Cozy Bear, APT29 y The Dukes. Según la empresa, el ataque comenzó a finales de noviembre del año pasado y no fue resultado de una vulnerabilidad en sus productos o servicios. En cambio, los atacantes «utilizaron un ataque de pulverización de contraseñas para comprometer una cuenta de inquilino de prueba heredada que no es de producción» para acceder a sus sistemas.
En este ataque, los actores de amenazas intentan iniciar sesión en cuentas utilizando las contraseñas más populares o más probables. La cuenta comprometida no tenía habilitada la autenticación multifactor (MFA), lo que facilitó el trabajo a los piratas informáticos. Midnight Blizzard también empleó otras técnicas para evadir la detección y evitar bloqueos de cuentas, incluido «lanzar estos ataques desde una infraestructura de proxy residencial distribuida».
Estas técnicas ofuscaron su actividad, permitiéndoles persistir en el ataque hasta tener éxito. La violación expuso las cuentas de correo electrónico corporativas de “un porcentaje muy pequeño” de empleados de Microsoft en varias divisiones internas, incluidas las de ciberseguridad y legal. El tecnología El gigante descubrió que Midnight Blizzard inicialmente apuntó a cuentas de correo electrónico en busca de información relacionada con él mismo. Al parecer, los atacantes querían descubrir qué sabía Microsoft sobre ellos.
El grupo se dirige a más organizaciones.
en un nueva publicación de blogMicrosoft reveló que Midnight Blizzard también ha sido apuntando a otras organizaciones, probablemente con una intención similar. La empresa no nombró las organizaciones que podrían estar siendo atacadas por piratas informáticos patrocinados por el estado ruso, pero dijo que ya comenzó a notificarles. Agregó que la investigación aún está en curso. El fabricante de Windows planea compartir más detalles según corresponda.
Mientras tanto, Hewlett Packard Enterprise (HPE) reveló recientemente que Midnight Blizzard obtuvo acceso no autorizado a su entorno de correo electrónico basado en la nube, alojado por Microsoft. Este ataque podría ser parte de la misma campaña de espionaje dirigida por los piratas informáticos rusos. Al momento de escribir este artículo, no hay ningún informe de que estos ataques hayan comprometido los datos de los clientes. Lo seguiremos de cerca y le informaremos tan pronto como tengamos más información.