Microsoft potwierdził, że powiązana z Rosją grupa włamała się na konta kadry kierowniczej wyższego szczebla. Inne organizacje były celem tej samej grupy, nazwanej Midnight Blizzard – ustalił Microsoft. Powiadamia firmy, mające ten problem.

Wcześniej HPE ujawniło naruszenie bezpieczeństwa przez ten sam gang, które dotyczyło „niewielkiej liczby” kont e-mail w firmie. Zostało wykryte w grudniu ub.r. Napastnicy wykorzystali do włamania środowisko Office 365 – twierdzi firma.

Napastnicy wykorzystali brak MFA

Według Microsoftu powiązana z Rosją grupa zastosowała na początek taktykę „password spray attack”, aby wycelować w starsze, nieprodukcyjne testowe konto. Nie włączono na nim uwierzytelniania wieloskładnikowego (MFA) – przyznał koncern.

Następnie napastnicy wykorzystali uprawnienia z tego konta, aby „uzyskać dostęp do bardzo niewielkiego odsetka firmowych kont e-mail firmy Microsoft, w tym członków naszego wyższego kierownictwa i pracowników działu cyberbezpieczeństwa oraz eksfiltrować niektóre e-maile i załączone dokumenty” – poinformował gigant z Redmond. Hakerzy mieli naruszyć bezpieczeństwo testowej aplikacji OAuth i w efekcie poprzez Office 365 włamali się do skrzynek pocztowych. Microsoft podał, że ostatni taki incydent miał miejsce w listopadzie 2023 r.

George Kurtz, współzałożyciel CrowdStrike’a, firmy z branży cyberbezpieczeństwa, zasugerował w wywiadzie dla CNBC, że wyjaśnienia Microsoftu nie są pełne. Spodziewa się, że w sprawie ataku „wyjdzie znacznie więcej”.