Microsoft ha rivelato che il gruppo di hacker russi ‘Midnight Blizzard‘ ha recentemente ottenuto l’accesso a alcuni dei suoi sistemi interni e repository del codice sorgente, sfruttando segreti di autenticazione rubati durante un attacco informatico avvenuto a gennaio.
Un’infiltrazione preoccupante
Midnight Blizzard, noto anche come NOBELIUM, è riuscito a infiltrarsi nei server di posta elettronica aziendali di Microsoft grazie a un attacco di password spray, che ha consentito l’accesso a un account di test non in produzione. L’assenza di autenticazione a più fattori (MFA) su questo account ha ulteriormente facilitato l’accesso illecito, permettendo agli hacker di accedere a dati sensibili, inclusi quelli di alcuni membri del team di leadership e degli addetti alla sicurezza informatica e ai dipartimenti legali di Microsoft.
In seguito a questa incursione, Midnight Blizzard ha utilizzato le informazioni ottenute per tentare di accedere ad altri sistemi interni di Microsoft e ai suoi repository del codice sorgente nelle settimane successive. Sebbene Microsoft abbia affermato che i sistemi orientati al cliente non sembrano essere stati compromessi, la situazione rimane allarmante.
Misure e risposte
In risposta a queste minacce, Microsoft ha incrementato gli investimenti in sicurezza, migliorando la coordinazione aziendale e rafforzando le difese contro queste minacce persistenti. L’azienda ha inoltre iniziato a contattare i clienti i cui dati potrebbero essere stati esposti agli attacchi, offrendo assistenza per mitigare i potenziali rischi.
Midnight Blizzard, legato al Servizio di Intelligence Esterna della Russia (SVR), è tristemente noto per i suoi attacchi di cyberespionaggio e furto di dati, tra cui l’attacco alla catena di approvvigionamento di SolarWinds nel 2020, che ha colpito numerose aziende, inclusa la stessa Microsoft.
Minaccia continua
L’incremento degli attacchi di password spray da parte di Midnight Blizzard, con un aumento decuplicato a febbraio rispetto a gennaio 2024, sottolinea l’importanza di implementare misure di sicurezza robuste, come l’autenticazione a più fattori, per proteggere i sistemi dalle intrusioni, anche quando le credenziali vengono indovinate correttamente.
L’episodio sottolinea la continua minaccia posta da gruppi di APT statali e la necessità per le aziende di adottare misure di sicurezza avanzate per proteggere i loro dati e sistemi critici.