Microsoft reporta que Midnight Blizzard, un actor de amenazas respaldado por el Estado ruso, logró acceso no autorizado a algunos de sus repositorios de código fuente y sistemas internos. El hackeo se descubrió en enero de 2024, y la compañía de tecnología ha visto evidencia de que el grupo está utilizando información obtenida inicialmente de sus sistemas de correo electrónico corporativo para obtener más acceso no autorizado. Si bien hasta la fecha no se ha encontrado evidencia de que los sistemas alojados de Microsoft que son de cara al cliente hayan sido comprometidos, la empresa ha estado en contacto directo con los clientes afectados.
Microsoft señala que Midnight Blizzard está tratando de aprovechar diferentes tipos de secretos, incluidos aquellos que fueron compartidos por correo electrónico entre los clientes y la empresa, pero no se ha revelado la escala exacta de la violación o qué código fuente tenía el grupo. La compañía ha aumentado sus inversiones en seguridad y ha informado que el actor de amenazas ha aumentado sus ataques «spray de contraseña» hasta diez veces en febrero en comparación con enero.
La violación de Microsoft se llevó a cabo en noviembre de 2023, cuando Midnight Blizzard empleó un ataque de «spray de contraseña» para acceder a una cuenta de prueba no productiva y legada que no tenía autenticación multifactor habilitada. Desde entonces, la empresa de tecnología ha revelado que APT29 ha atacado a otras organizaciones, aprovechando diversas formas de acceso inicial.
Midnight Blizzard es considerado parte del Servicio de Inteligencia Exterior de Rusia (SVR). Se trata de uno de los grupos de piratas informáticos más sofisticados y prolíficos, comprometiendo a objetivos de alto perfil como SolarWinds. Según Microsoft, este refleja un panorama global de amenazas sin precedentes, especialmente en términos de ataques sofisticados por parte de los estados-nación.
Vía The Hacker News
