Hackers russos atacaram outras empresas, afirma Microsoft

De acordo com notícia do site Ciso Advisor, uma semana após ter revelado que foi vítima de um ataque realizado por hackers russos, a Microsoft afirmou que não foi o único alvo da operação de espionagem do governo. Em uma nova postagem em seu blog, a empresa diz que “o mesmo operador tem visado outras organizações e, como parte de nossos processos habituais de notificação, começamos a notificar essas organizações visadas”.

A Microsoft não deixa claro, no entanto, quantas organizações foram afetadas por hackers russos. A fabricante de software identificou o grupo de hackers como o Midnight Blizzard — também conhecido como Nobelium, APT29 e Cozy Bear. Acredita-se que o grupo seja patrocinado pelo governo russo e atue como a divisão de hackers do Serviço de Inteligência Estrangeira (SVR) da Rússia, que tem sido associado a vários ataques ao longo dos anos.

A Microsoft disse que detectou a invasão no dia 12 de janeiro e depois estabeleceu que a campanha de hackers começou no final de novembro, quando usaram um “ataque de pulverização de senha” em um sistema legado que não tinha autenticação multifator habilitada. A pulverização de senhas ocorre quando hackers tentam acesso de força bruta a contas utilizando senhas mais comumente usadas ou uma lista maior de senhas de violações de dados anteriores.

“O operador adaptou seus ataques de pulverização de senhas a um número limitado de contas, usando um baixo número de tentativas para evitar a detecção e evitar bloqueios de contas com base no volume de falhas”, escreveu a Microsoft em seu último post no blog. “O operador da ameaça reduziu ainda mais a probabilidade de descoberta ao lançar esses ataques a partir de uma infraestrutura de proxy residencial distribuída. Essas técnicas de evasão ajudaram a garantir que o ator ofuscasse sua atividade e pudesse persistir o ataque ao longo do tempo até ter sucesso.”

Depois que os hackers obtiveram acesso a uma conta naquele sistema legado, eles “usaram as permissões da conta para acessar uma porcentagem muito pequena de contas de e-mail corporativas da Microsoft”, segundo a fabricante, que ainda não especificou quantas contas de e-mail foram comprometidas.

No dia 25 de janeiro, a Hewlett Packard Enterprise (HPE) divulgou que seu sistema de e-mail hospedado pela Microsoft foi hackeado pelo Midnight Blizzard. A HPE disse que foi notificada da violação em 12 de dezembro. A empresa disse que, de acordo com sua própria investigação, os hackers “acessaram e exfiltraram dados” de uma “pequena porcentagem” de caixas de correio da HPE a partir de maio de 2023.

Não está claro como ou se essa violação está ligada à campanha de espionagem dos hackers que atacaram a Microsoft, já que a HPE disse que seu incidente estava conectado a uma intrusão anterior, em que os mesmos hackers exfiltraram “um número limitado de arquivos do SharePoint” de sua rede.