Microsoft heeft vrijdag onthuld dat de door het Kremlin gesteunde bedreigingsacteur bekend staat als Middernacht Sneeuwstorm (ook bekend als APT29 of Cosy Bear) slaagde erin toegang te krijgen tot enkele van zijn broncodeopslagplaatsen en interne systemen na een hack die in januari 2024 aan het licht kwam.
“De afgelopen weken hebben we bewijs gezien dat Midnight Blizzard informatie gebruikt die aanvankelijk uit onze zakelijke e-mailsystemen was geëxfiltreerd om ongeautoriseerde toegang te verkrijgen of te proberen”, aldus de technologiegigant.
“Dit omvatte toegang tot enkele van de broncoderepository’s en interne systemen van het bedrijf. Tot nu toe hebben we geen bewijs gevonden dat door Microsoft gehoste klantgerichte systemen zijn gecompromitteerd.”
Redmond, dat de omvang van de inbreuk blijft onderzoeken, zei dat de door de Russische staat gesponsorde bedreigingsacteur probeert gebruik te maken van de verschillende soorten geheimen die het heeft gevonden, inclusief de geheimen die via e-mail tussen klanten en Microsoft zijn gedeeld.
Het maakte echter niet bekend wat deze geheimen waren of de omvang van het compromis, hoewel het wel zei dat het rechtstreeks contact heeft opgenomen met de getroffen klanten. Het is niet duidelijk welke broncode werd gebruikt.
Microsoft verklaarde dat het zijn investeringen in beveiliging heeft verhoogd en merkte verder op dat de tegenstander zijn wachtwoordspray-aanvallen in februari maar liefst tien keer heeft opgevoerd, vergeleken met het “al grote volume” dat in januari werd waargenomen.
“De voortdurende aanval van Midnight Blizzard wordt gekenmerkt door een aanhoudende, significante inzet van de middelen, coördinatie en focus van de dreigingsactor”, aldus het rapport.
“Het zou de informatie die het heeft verkregen kunnen gebruiken om een beeld te krijgen van de gebieden die moeten worden aangevallen en om zijn vermogen daartoe te vergroten. Dit weerspiegelt wat in bredere zin een ongekend mondiaal dreigingslandschap is geworden, vooral in termen van geavanceerde natiestatelijke aanvallen.”
De inbreuk op Microsoft zou hebben plaatsgevonden in november 2023, waarbij Midnight Blizzard een wachtwoordspray-aanval gebruikte om met succes een verouderd, niet-productietesttenantaccount te infiltreren waarvoor geen multi-factor authenticatie (MFA) was ingeschakeld.
De technologiegigant onthulde eind januari dat APT29 zich op andere organisaties had gericht door gebruik te maken van een gevarieerde reeks initiële toegangsmethoden, variërend van gestolen inloggegevens tot aanvallen op de toeleveringsketen.
Midnight Blizzard wordt beschouwd als onderdeel van de Russische Buitenlandse Inlichtingendienst (SVR). De bedreigingsacteur is actief sinds minstens 2008 en is een van de meest productieve en geavanceerde hackgroepen, die spraakmakende doelen zoals SolarWinds in gevaar brengen.
