A Microsoft anunciou que detectou um ataque levado a cabo por um país contra a sua a sua rede de email corporativa e aponta o dedo a um grupo de hackers denominado Midnight Blizzard. Este grupo também é conhecido como Apt29, Nobelium e Cozy Bear e sabe-se que é usado frequentemente para levar a cabo ataques contra organizações ocidentais a mando do governo russo.
A Microsoft revelou que o ataque começou em Novembro de 2023, com a utilização de uma técnica denominada ‘password spray’ para tentar comprometer a segurança de uma conta de teste antiga que não estava ligada a qualquer sistema em produção. O ‘password spray’ é uma técnica de ataque brute force em que o atacante tenta adivinhar uma password a partir de uma lista de passwords comuns. Normalmente, estes ataques são automáticos e feitos lentamente para tentar não causar alarme nos sistemas das vítimas.
Depois de terem conseguido aceder à conta de teste, os membros do grupo de hackers russos exploraram as suas permissões para aceder a uma “muito pequena” percentagem de contas corporativas, leia-se: responsáveis seniores da empresa, membros da equipa jurídica e de outros departamentos. Durante o ataque também foi roubada informação, como mensagens e anexos.
Segundo a Microsoft, um aspecto interessante acerca deste ataque é que os hackers estavam principalmente interessados em informações acerca deles próprios. Não há nenhuma evidência que os intrusos acederam a contas de utilizadores, sistemas em produção, código fonte ou sistemas de inteligência artificial. A empresa enfatiza que este ataque não se ficou a dever a qualquer vulnerabilidade que estivesse presente nos seus serviços ou produtos. No entanto, vai notificar os seus clientes se a situação mudar.
A Microsoft informou os empregados afectados e fechou o acesso aos hackers. A empresa está a preparar mudanças significativas na forma como a segurança informática é gerida internamente e recentemente anunciou a Secure Future Initiative (SFI). A SFI vai usar sistemas de defesa informática baseados em inteligência artificial e impor normas de segurança mais estritas para a utilização de aplicações antigas (e recentes) para tentar evitar outro ataque deste género.
