Uma gangue de hackers apoiada pelo governo russo invadiu a rede corporativa da Microsoft e roubou e-mails e anexos de executivos seniores e de funcionários dos departamentos jurídico e de segurança cibernética, divulgou a empresa na sexta-feira, 19.
A gigante do software disse que o grupo de ameaça persistente avança (APT) Nobelium — também conhecido como Midnight Blizzard, APT29 e Cozy Bear — usou um ataque de spray de senha para comprometer uma conta legada de um cliente de teste de não produção e ganhar uma posição. Os hackers então usaram as permissões da conta para acessar uma porcentagem de contas de e-mail corporativo da Microsoft. “[Eles] exfiltraram alguns e-mails e documentos anexados”, disse a Microsoft em um documento enviado à Comissão de Valores Mobiliários (SEC) dos EUA.
A empresa disse que sua equipe de segurança detectou o ataque aos seus sistemas corporativos na sexta-feira retrasada, 12, e rastreou a infecção até novembro de 2023.
A Microsoft disse que membros de sua equipe de executivos seniores estavam entre as vítimas e observou que os hackers visavam inicialmente contas de e-mail para obter informações relacionadas ao conhecimento da própria empresa sobre a operação do APT. “O ataque não foi resultado de uma vulnerabilidade em produtos ou serviços da Microsoft. Até o momento, não há evidências de que o grupo tenha tido acesso aos ambientes dos clientes, aos sistemas de produção, ao código-fonte ou aos sistemas de inteligência artificial (IA). Notificaremos os clientes se alguma ação for necessária”, afirmou a fabricante de software.
A Microsoft enfatizou ainda que agirá imediatamente para aplicar os padrões de segurança atuais aos sistemas legados de sua propriedade e processos de negócios internos, “mesmo que essas mudanças possam causar interrupção nos processos de negócios existentes”. “As mudanças provavelmente causarão algum nível de interrupção enquanto nos adaptamos a esta nova realidade.”
“Continuamos nossa investigação e tomaremos ações adicionais com base nos resultados desta investigação e continuaremos trabalhando com as autoridades policiais e reguladores apropriados”, acrescentou a Microsoft.
A descoberta de hackers russos na rede da Microsoft ocorre menos de seis meses depois que espiões cibernéticos chineses foram pegos forjando tokens de autenticação usando uma chave de assinatura corporativa roubada do Azure AD para invadir caixas de entrada de e-mail M365. O hack, que levou ao roubo de dados de e-mail de aproximadamente 25 organizações governamentais nos Estados Unidos, está atualmente sendo investigado pelo Cyber Security Review Board (CSRB).
Veja isso
Hackers russos miram DropBox e Google Drive para lançar malware
EUA derrubam operação do ransomware ALPHV/BlackCat
Quem é o Nobelium
O Nobelium é um grupo de hackers patrocinado pelo governo russo que se acredita ser
a divisão de hackers do Serviço de Inteligência Estrangeira SVR) da Rússia, que tem sido associado a vários ataques ao longo dos anos.
O grupo ganhou notoriedade quando o governo dos EUA os vinculou ao ataque à cadeia de suprimentos da SolarWinds em 2020, que também impactou a Microsoft na época. Mais tarde, a fabricante de software confirmou que o ataque à SolarWinds permitiu que os hackers roubassem o código-fonte de um número limitado de componentes do Azure, Intune e Exchange. Em junho de 2021, o grupo Nobelium violou mais uma vez uma conta corporativa da Microsoft, o que lhe permitiu acessar ferramentas de suporte ao cliente.
Além de realizar ataques de ciberespionagem e roubo de dados, o grupo de hackers também é conhecido por desenvolver malware personalizado para usar em seus ataques.
A Microsoft sempre foi um alvo altamente valorizado, pois controla grande parte dos dados e serviços utilizados por governos e empresas em todo o mundo. Mais recentemente, a empresa foi alvo de hackers chineses que roubaram uma chave de assinatura que lhes permitiu aceder às contas de e-mail de duas dezenas de organizações, incluindo agências governamentais dos EUA e da Europa Ocidental.
Para ter acesso ao relatório da Microsoft, em inglês, sobre o ataque do grupo APT Nobelium clique aqui.
