Microsoft reveló el viernes que el actor de amenazas respaldado por el Kremlin conocido como Midnight Blizzard (también conocido como APT29 o Cozy Bear) logró obtener acceso a algunos de sus repositorios de código fuente y sistemas internos luego de un hack que salió a la luz en enero de 2024.
«En las últimas semanas, hemos visto evidencia de que Midnight Blizzard está utilizando información inicialmente extraída de nuestros sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado», dijo el gigante tecnológico .
«Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la compañía. Hasta la fecha no hemos encontrado evidencia de que los sistemas de cara al cliente alojados en Microsoft hayan sido comprometidos».
Redmond, que continúa investigando el alcance de la violación, dijo que el actor de amenazas patrocinado por el estado ruso está intentando aprovechar los diferentes tipos de secretos que encontró, incluidos aquellos que se compartieron entre los clientes y Microsoft por correo electrónico.
Sin embargo, no reveló cuáles eran estos secretos ni la escala del compromiso, aunque dijo que se había comunicado directamente con los clientes afectados. No está claro a qué código fuente se accedió.
Al afirmar que ha aumentado sus inversiones en seguridad , Microsoft señaló además que el adversario incrementó sus ataques de pulverización de contraseñas hasta 10 veces en febrero, en comparación con el «volumen ya grande» observado en enero.
«El ataque en curso de Midnight Blizzard se caracteriza por un compromiso sostenido y significativo de los recursos, la coordinación y el enfoque del actor de la amenaza», dijo.
«Puede estar utilizando la información que ha obtenido para acumular una imagen de las áreas que atacar y mejorar su capacidad para hacerlo. Esto refleja lo que se ha convertido en un panorama de amenazas globales sin precedentes, especialmente en términos de ataques sofisticados a Estados-nación».
Se dice que la infracción de Microsoft tuvo lugar en noviembre de 2023, y Midnight Blizzard empleó un ataque de pulverización de contraseñas para infiltrarse con éxito en una cuenta de inquilino de prueba heredada que no era de producción y que no tenía habilitada la autenticación multifactor (MFA).
El gigante tecnológico, a finales de enero, reveló que APT29 se había dirigido a otras organizaciones aprovechando un conjunto diverso de métodos de acceso inicial que iban desde credenciales robadas hasta ataques a la cadena de suministro.
Midnight Blizzard se considera parte del Servicio de Inteligencia Exterior de Rusia (SVR). Activo desde al menos 2008, el actor de amenazas es uno de los grupos de piratería más prolíficos y sofisticados, comprometiendo objetivos de alto perfil como SolarWinds .
«La infracción de Microsoft por parte de Midnight Blizzard es un golpe estratégico», dijo el director ejecutivo de Tenable, Amit Yoran, en un comunicado compartido con The Hacker News. “Midnight Blizzard no es una banda criminal de poca monta. Son un equipo altamente profesional, respaldado por Rusia, que comprende plenamente el valor de los datos que han expuesto y cómo utilizarlos mejor para infligir el máximo daño”.
“La ubicuidad de Microsoft requiere un nivel de responsabilidad y transparencia mucho mayor que el que han demostrado consistentemente. Incluso ahora no comparten toda la verdad; por ejemplo, todavía no sabemos qué código fuente ha sido comprometido. Estas violaciones no están aisladas unas de otras y las turbias prácticas de seguridad y las declaraciones engañosas de Microsoft oscurecen intencionadamente toda la verdad”.
Fuente y redacción: thehackernews.com
