Microsoft va revelar divendres que va ser l’objectiu d’un atac d’estat-nació als seus sistemes corporatius que va provocar el robatori de correus electrònics i fitxers adjunts d’alts executius i altres persones dels departaments legals i de ciberseguretat de la companyia.

El fabricant de Windows va atribuir l’atac a un grup d’amenaces persistents avançades (APT) rus que es coneix com a Midnight Blizzard (abans Nobelium), i que també es coneix com a APT29, BlueBravo, Cloaked Ursa, Cozy Bear i The Dukes.

A més, va dir que immediatament va prendre mesures per investigar, interrompre i mitigar l’activitat maliciosa després del descobriment el 12 de gener de 2024. Es calcula que la campanya va començar a finals de novembre del 2023.

“L’autor de l’amenaça va utilitzar un atac de polvorització de contrasenya per comprometre un compte locatiu de prova de no producció heretat i consolidar un punt de suport, i després va utilitzar els permisos del compte per accedir a un percentatge molt reduït de comptes de correu electrònic corporatius de Microsoft, inclosos membres del nostre equip de direcció sènior i empleats de les nostres activitats de ciberseguretat, legals i d’altres, i va extreure alguns correus electrònics i documents adjunts”, va dir Microsoft.

Redmond va dir que la naturalesa dels objectius indica que els actors de l’amenaça estaven buscant accedir a la informació relacionada amb ells mateixos. També va subratllar que l’atac no va ser el resultat de cap vulnerabilitat de seguretat dels seus productes i que no hi ha proves que l’adversari hagi accedit als entorns de client, sistemes de producció, codi font o sistemes d’IA.

El gegant de la informàtica, però, no va revelar quants comptes de correu electrònic es van infiltrar ni a quina informació es va accedir, però va dir que estava avisant els empleats que es van veure afectats a conseqüència de l’incident.

L’equip de pirateria informàtica, que va ser el responsable del famós compromís de la cadena de subministrament de SolarWinds, és la segona vegada que tria com a objectiu Microsoft, una vegada el desembre de 2020 al codi font siphon relacionat amb els components d’Azure, Intune i Exchange, i una segona vegada  violant tres dels seus clients  el juny de 2021 mitjançant polvorització de contrasenyes i atacs de força bruta.

“Aquest atac posa de manifest el risc continuat que suposa per a totes les organitzacions els actors d’amenaces de l’estat-nació amb bons recursos com Midnight Blizzard”, va dir el Centre de resposta de seguretat de Microsoft (MSRC).