Компания Microsoft сообщила, что ряд ее корпоративных email-аккаунтов был взломан, а данные похищены русскоязычной хакерской группой Midnight Blizzard (она же Nobelium, APT29 и Cozy Bear). Хакеры провели в системе больше месяца и скомпрометировали электронную почту руководителей Microsoft, сотрудников юридического отдела и специалистов по кибербезопасности.
Атака была обнаружена 12 января 2024 года. По данным Microsoft, злоумышленники проникли в систему еще в ноябре 2023 года, после того как провели успешную брутфорс-атаку типа password spray (перебор ранее скомпрометированных или часто используемых паролей) и получили доступ к тестовой учетной записи старого непроизводственного тенанта.
Тот факт, что хакеры смогли получить доступ к учетной записи с помощью брутфорса, указывает, что аккаунт не был защищен двухфакторной или многофакторной аутентификацией, которую Microsoft настоятельно рекомендует использовать для всех типов учетных записей.
Сообщается, что получив доступ к тестовой учетной записи, хакеры использовали ее для доступа к «небольшому проценту» корпоративных email-аккаунтов, к которым в итоге сохраняли доступ около месяца. Среди взломанных аккаунтов были учетные записи членов руководства Microsoft, сотрудников юридического отдела, специалистов по кибербезопасности и так далее, у которых хакеры похитили письма и вложения.
При этом неясно, каким образом хакерам удалось перейти к другим аккаунтам, если только они не использовали тестовую учетную запись для взлома других систем и перехода к аккаунтам с более высокими привилегиями. Ведь непроизводственный тестовый аккаунт вряд ли имел права для доступа к другим учетным записям в корпоративной почтовой системе компании.
«Расследование показало, что исходно хакеры нацеливались на почтовые учетные записи для получения информации, связанной с самой Midnight Blizzard, — сообщают специалисты Microsoft Security Response Center. — В настоящее время мы уведомляем сотрудников, к электронной почте которых был получен доступ».
В Microsoft подчеркивают, что этот инцидент не был вызван какой-либо уязвимостью в продуктах и сервисах компании, и связан исключительно с брутфорсом. Специалисты компании еще продолжают расследование инцидента и обещают со временем поделиться дополнительными подробностями.
Хотя Microsoft утверждает, что нет никаких доказательств того, что Midnight Blizzard получила доступ к клиентским средам, производственным системам, исходному коду или ИИ-системам, некоторые ИБ-исследователи сомневаются в этих заявлениях. Одним из таких скептиков является Кевин Бомонт (Kevin Beaumont), который долгое время занимается кибербезопасностью и ранее работал в Microsoft. Бомонт пишет:
«Сотрудники Microsoft используют Microsoft 365 для работы с электронной почтой. Заявления, поданные в Комиссию по ценным бумагам и биржам, публикации в блоге без подробностей, выходящие в пятницу вечером… Все это здорово, но за этим должны последовать реальные подробности. Эпоха, когда Microsoft обозначала инциденты кодовыми словами, делала CELA и притворялась, что MSTIC видит все (у злоумышленников тоже есть Mac), закончилась. Чтобы сохранить доверие, им нужны радикальные технические и культурные преобразования».
Напомним, что в прошлом году Microsoft пострадала от атаки китайских хакеров, которые похитили ключ подписи, позволивший им получить доступ к email-аккаунтам двух десятков организаций, включая правительственные учреждения в США и странах Европы. Тогда выяснилось, хакеры взломали корпоративную учетную запись инженера Microsoft и случайно нашли ключ MSA в аварийном дампе Windows (crash dump), куда тот попал из‑за бага. Ни сам аварийный дамп, ни ключ в нем вообще не должны были находиться там, где их обнаружили преступники.
