Los atacantes patrocinados por el estado ruso que violaron las cuentas de correo electrónico corporativas de varios empleados de alto nivel de Microsoft y miembros del equipo de seguridad en noviembre han estado utilizando información robada de esos buzones de correo para acceder a los sistemas internos. Algunos de los correos electrónicos también incluían secretos que Microsoft intercambió con sus clientes y que podrían usarse en futuros ataques, advierte la compañía.
«En las últimas semanas, hemos visto evidencia de que Midnight Blizzard está utilizando información inicialmente extraída de nuestros sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado», dijo la compañía en una actualización sobre su investigación el viernes. “Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la empresa. Hasta la fecha no hemos encontrado evidencia de que los sistemas de atención al cliente alojados en Microsoft hayan sido comprometidos”.
Midnight Blizzard es la designación de Microsoft para un grupo también conocido en la industria de la seguridad como Nobelium o APT29 y que según las agencias de inteligencia de Estados Unidos y Reino Unido, forma parte del Servicio de Inteligencia Exterior de Rusia, el SVR. APT29 ha sido responsable de muchos ataques de alto perfil a lo largo de los años, incluido el compromiso de la cadena de suministro de 2021 que involucró a SolarWinds y que afectó a miles de organizaciones y agencias gubernamentales.
En enero, Microsoft anunció que el grupo logró obtener acceso a una cuenta de inquilino de prueba heredada en su infraestructura mediante un ataque de pulverización de contraseñas. Esta es una técnica en la que los atacantes intentan acceder a una cuenta utilizando una lista de contraseñas comprometidas en otras infracciones. En este caso, los atacantes limitaron el número de intentos y el tiempo entre ellos para evadir la detección y la limitación automática de la velocidad.
La cuenta de prueba no tenía activada la autenticación multifactor y tenía acceso a una aplicación OAuth que tenía un acceso aún más elevado al entorno corporativo de Microsoft. Luego, los atacantes crearon sus propias aplicaciones OAuth y utilizaron la cuenta comprometida para otorgarles la función full_access_as_app al Office 365 Exchange Online de la empresa. Esta función proporciona acceso completo a los buzones de correo.
El ataque ocurrió en noviembre, pero Microsoft lo detectó el 12 de enero, por lo que los atacantes tenía acceso al sistema de correo electrónico corporativo de Microsoft durante más de un mes. Durante este tiempo, accedieron a los buzones de correo de empleados que trabajan en puestos de liderazgo, ciberseguridad y legales, incluidos empleados que estaban investigando al propio grupo APT.