Microsoft ha reso noto venerdì scorso che alcuni dei suoi account email aziendali sono stati violati e i dati sono stati rubati da un gruppo di hacker noto come Midnight Blizzard, sponsorizzato dallo stato russo.
L'attacco è stato scoperto il 12 gennaio scorso, e l'indagine di Microsoft ha identificato i cyber-criminali come il gruppo russo noto come Nobelium o APT29.
L'azienda ha dichiarato che i cyber-criminali hanno violato i loro sistemi nel novembre 2023, utilizzando una tecnica nota come "password spray", un tipo di attacco brute force.
Questo attacco coinvolge la raccolta di una lista di possibili nomi di accesso e successivi tentativi di accesso con una particolare password. Nel caso specifico, gli hacker hanno sfruttato un account di test che non era protetto con l'autenticazione a due fattori (2FA), o l'autenticazione multifattore (MFA), non rispettando quindi le best practices di sicurezza consigliate da Microsoft.
Dopo aver ottenuto l'accesso all'account di test, i cyber-criminali hanno potuto accedere a una "piccola percentuale" degli account email aziendali di Microsoft per oltre un mese.
Tra gli account violati ci sono quelli di membri del team di leadership di Microsoft e dipendenti nei dipartimenti di sicurezza informatica e legale. Gli hacker hanno rubato email e allegati, ma l'indagine indica che inizialmente stavano cercando informazioni legate proprio al gruppo Midnight Blizzard (un altro dei nomi di Nobelium).
Microsoft sottolinea che la violazione non è stata causata da una vulnerabilità nei loro prodotti e servizi, ma da un attacco di forza bruta alle password degli account. L'azienda sta ancora indagando sulla violazione e condividerà ulteriori dettagli se appropriato. In una comunicazione con la SEC, Microsoft ha affermato che la violazione non ha avuto un impatto materiale sulle sue operazioni aziendali.
Nobelium, noto anche come Midnight Blizzard, APT29 e Cozy Bear, è un gruppo di hacker (o meglio di cyber-criminali viste le metodologie utilizzate) sponsorizzato dallo stato russo e associato al Servizio di Intelligence Estera della Russia (SVR).
Il gruppo è stato collegato a vari attacchi nel corso degli anni, tra cui quello della catena di approvvigionamento SolarWinds del 2020, che colpì anche Microsoft. Questo episodio segue una serie di attacchi informatici contro organizzazioni di alto profilo da parte di gruppi di hacking sponsorizzati ufficialmente da alcune nazioni.