Microsoft heeft onlangs een natiestaataanval op zijn bedrijfssystemen bekendgemaakt door Russische, door de staat gesponsorde hackers. Het blijkt dat de Windows-maker niet het enige doelwit was van deze hackcampagne. Dezelfde groep aanvallers heeft zich ook op andere organisaties gericht.
Microsoft werpt meer licht op de recente Russische aanval
Op 12 januari ontdekte het beveiligingsteam van Microsoft een inbreuk op de bedrijfssystemen en activeerde onmiddellijk het reactieproces om de aanval te beperken. Uit een intern onderzoek bleek dat de hackergroep Nobelium, vermoedelijk werkzaam voor de Russische buitenlandse inlichtingendienst, achter de aanval zat. De groep voerde in 2020 ook de geavanceerde SolarWinds-aanval uit.
Microsoft noemde de aanvallers Midnight Blizzard. Andere branchenamen van de hackers zijn Cosy Bear, APT29 en The Dukes. Volgens het bedrijf begon de aanval eind november vorig jaar en was niet het gevolg van een kwetsbaarheid in zijn producten of diensten. In plaats daarvan gebruikten de aanvallers “een wachtwoordsprayaanval om een verouderd, niet-productietesttenantaccount in gevaar te brengen” om toegang te krijgen tot de systemen.
Bij deze aanval proberen de bedreigingsactoren in te loggen op accounts met behulp van de populairste of meest waarschijnlijke wachtwoorden. Op het gecompromitteerde account was geen multifactorauthenticatie (MFA) ingeschakeld, wat het werk voor de hackers gemakkelijker maakte. Midnight Blizzard gebruikte ook andere technieken om detectie te omzeilen en accountblokkeringen te vermijden, waaronder “het lanceren van deze aanvallen vanaf een gedistribueerde residentiële proxy-infrastructuur.”
Deze technieken verdoezelden hun activiteit, waardoor ze de aanval konden voortzetten totdat deze succesvol was. Door de inbreuk werden de zakelijke e-mailaccounts van “een zeer klein percentage” van Microsoft-werknemers in verschillende interne afdelingen, waaronder cyberbeveiliging en juridische zaken, blootgelegd. De technologiegigant ontdekte dat Midnight Blizzard aanvankelijk e-mailaccounts targette op informatie die op zichzelf betrekking had. De aanvallers wilden schijnbaar weten wat Microsoft over hen wist.
De groep richt zich op meer organisaties
In een nieuwe blogpost onthulde Microsoft dat Midnight Blizzard zich ook op andere organisaties heeft gericht, waarschijnlijk met een vergelijkbare bedoeling. Het bedrijf heeft niet de namen genoemd van de organisaties die mogelijk worden aangevallen door door de Russische staat gesponsorde hackers, maar zegt dat het al begonnen is hen op de hoogte te stellen. Het voegde eraan toe dat het onderzoek nog loopt. De Windows-maker is van plan om indien nodig meer details te delen.
Ondertussen onthulde Hewlett Packard Enterprise (HPE) onlangs dat Midnight Blizzard ongeautoriseerde toegang heeft gekregen tot zijn cloudgebaseerde e-mailomgeving, gehost door Microsoft. Deze aanval zou onderdeel kunnen zijn van dezelfde spionagecampagne van de Russische hackers. Op het moment van schrijven is er geen melding dat deze aanvallen klantgegevens in gevaar hebben gebracht. Wij houden het nauwlettend in de gaten en laten het u weten zodra wij meer informatie hebben.
