El responsable és el grup veterà d’estat nació Midnight Blizzard, també anomenat Cozy Bear o APT29.

Microsoft ha confirmat fa uns dies que un actor d’amenaces amb el suport del Kremlin i conegut com a Midnight Blizzard, Cozy Bear  o APT29 ha aconseguit tenir accés a alguns dels seus repositoris de codi font i sistemes interns després d’un atac que es va fer públic el gener passat.

L’empresa de Satya Nadella també assegura que continua investigant l’abast de la violació i que té la certesa que aquest actor d’amenaces patrocinat per l’estat rus està intentant aprofitar els diferents tipus de secrets que hi va trobar, inclosos aquells compartits entre els clients i Microsoft per correu electrònic. 

«En les últimes setmanes, hem vist evidències que Midnight Blizzard està fent servir informació inicialment extreta dels nostres sistemes de correu electrònic corporatiu per obtenir, o intentar obtenir, accés no autoritzat», ha assenyalat el gegant tecnològic. 

«Això ha inclòs la incursió en alguns dels repositoris de codi font i sistemes interns de l’empresa. Tanmateix, fins a la data d’avui no hem trobat evidència que els sistemes de cara al client, hostatjats a Microsoft, hagin estat compromesos»,  ha tranquil·litzat la firma de Redmond.  

Com van atacar

Es creu que en realitat la infracció de Microsoft va succeir el novembre de l’any passat i Midnight Blizzard va fer servir un atac de polvorització de contrasenyes (o password spray attack) per infiltrar-se amb èxit en un compte d’invitat de prova heretada que no era de producció i que no tenia habilitada l’autenticació multifactor (MFA).  

Segons recull Kaspersky, la polvorització de contrasenyes és una mena d’atac de força bruta en el qual un actor maliciós intenta fer servir la mateixa clau en diversos comptes, abans de provar-ho amb una altra. Aquests atacs solen ser eficaços perquè molts usuaris fan servir contrasenyes senzilles i fàcils d’endevinar, com ara «contrasenya» o «123456», entre d’altres.

El grup de ciberdelinqüents va fer un atac «sostingut i significatiu dels recursos» i també es va caracteritzar per la coordinació i l’enfocament. 

«Pot estar utilitzant la informació que ha obtingut per acumular una imatge de les àrees que vol atacar i millorar la seva capacitat per fer-ho. Això reflecteix el que s’ha convertit en un panorama d’amenaces globals sense precedents, especialment en termes d’atacs sofisticats a estats nació», aclareix Microsoft.  

Segons recorda The Hacker News, Midnight Blizzard es considera part del Servei d’Intel·ligència Exterior de Rússia (SVR). Actiu des d’almenys el 2008, l’actor d’amenaces és un dels grups de pirateria més prolífics i sofisticats, que compromet objectius de perfil alt com ara SolarWinds.