Microsoft dijo que los piratas informáticos respaldados por el Kremlin que violaron su red corporativa en enero han ampliado su acceso desde entonces en ataques posteriores dirigidos a clientes y que han comprometido el código fuente y los sistemas internos de la empresa.
La intrusión, que la compañía de software reveló en enero, fue llevada a cabo por Midnight Blizzard, el nombre utilizado para rastrear un grupo de piratas informáticos ampliamente atribuido al Servicio Federal de Seguridad, una agencia de inteligencia rusa. Microsoft dijo en ese momento que Midnight Blizzard obtuvo acceso a las cuentas de correo electrónico de altos ejecutivos durante meses después de explotar por primera vez una contraseña débil en un dispositivo de prueba conectado a la red de la compañía. Microsoft continuó diciendo que no tenía indicios de que su código fuente o sus sistemas de producción hubieran sido comprometidos.
Secretos enviados por correo electrónico
En una actualización publicada el viernes, Microsoft dijo que descubrió evidencia de que Midnight Blizzard había utilizado la información que obtuvo inicialmente para ingresar aún más en su red y comprometer tanto el código fuente como los sistemas internos. El grupo de piratas informáticos, que tiene muchos otros nombres, incluidos APT29, Cozy Bear, CozyDuke, The Dukes, Dark Halo y Nobelium, ha estado utilizando la información patentada en ataques posteriores, no solo contra Microsoft sino también contra sus clientes.
“En las últimas semanas, hemos visto evidencia de que Midnight Blizzard está utilizando información inicialmente extraída de nuestros sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado”. actualización del viernes dicho. “Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la empresa. Hasta la fecha, no hemos encontrado evidencia de que los sistemas de atención al cliente alojados en Microsoft se hayan visto comprometidos.
En la divulgación de enero, Microsoft dijo que Midnight Blizzard utilizó un ataque de pulverización de contraseñas para comprometer una “cuenta de inquilino de prueba heredada que no es de producción” en la red de la compañía. Esos detalles significaban que la cuenta no había sido eliminada una vez que fue dada de baja, una práctica que se considera esencial para proteger las redes. Los detalles también significaron que la contraseña utilizada para iniciar sesión en la cuenta era lo suficientemente débil como para ser adivinada enviando un flujo constante de credenciales recopiladas de infracciones anteriores, una técnica conocida como pulverización de contraseñas.
En los meses transcurridos desde entonces, dijo Microsoft el viernes, Midnight Blizzard ha estado explotando la información que obtuvo anteriormente en ata ques posteriores que han aumentado una tasa ya alta de pulverización de contraseñas.
Amenaza global sin precedentes
Los funcionarios de Microsoft escribieron:
Es evidente que Midnight Blizzard está intentando utilizar secretos de diferentes tipos que ha encontrado. Algunos de estos secretos se compartieron entre los clientes y Microsoft por correo electrónico y, a medida que los descubrimos en nuestro correo electrónico filtrado, nos hemos comunicado y nos comunicamos con estos clientes para ayudarlos a tomar medidas de mitigación. Midnight Blizzard ha aumentado el volumen de algunos aspectos del ataque, como la difusión de contraseñas, hasta 10 veces en febrero, en comparación con el ya gran volumen que vimos en enero de 2024.
El ataque en curso de Midnight Blizzard se caracteriza por un compromiso significativo y sostenido de los recursos, la coordinación y el enfoque del actor de la amenaza. Es posible que esté utilizando la información que ha obtenido para acumular una imagen de las áreas que atacar y mejorar su capacidad para hacerlo. Esto refleja lo que se ha convertido en un panorama de amenazas globales sin precedentes, especialmente en términos de ataques sofisticados a Estados-nación.
El ataque comenzó en noviembre y no fue detectado hasta enero. Microsoft dijo entonces que la violación permitió a Midnight Blizzard monitorear las cuentas de correo electrónico de altos ejecutivos y personal de seguridad, planteando la posibilidad de que el grupo pudiera leer comunicaciones confidenciales durante hasta tres meses. Microsoft dijo que una motivación para el ataque fue que Midnight Blizzard supiera lo que la compañía sabía sobre el grupo de amenazas. Microsoft dijo en ese momento y reiteró nuevamente el viernes que no tenía evidencia de que los piratas informáticos obtuvieran acceso a los sistemas de cara al cliente.
Midnight Blizzard se encuentra entre las APT más prolíficas, abreviatura de amenazas persistentes avanzadas, término utilizado para grupos de hackers capacitados y bien financiados que en su mayoría están respaldados por estados-nación. El grupo estuvo detrás del ataque a la cadena de suministro de SolarWinds que provocó el pirateo de los Departamentos de Energía, Comercio, Tesoro y Seguridad Nacional de EE. UU. y de unas 100 empresas del sector privado.
La semana pasada, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y socios internacionales prevenido que en los últimos meses, el grupo de amenazas ha ampliado su actividad para apuntar a la aviación, la educación, las fuerzas del orden, los consejos locales y estatales, los departamentos financieros gubernamentales y las organizaciones militares.