.
A Microsoft confirmou agora que os ciberespiões russos que invadiram as contas de e-mail dos seus executivos roubaram código-fonte e obtiveram acesso a sistemas internos. A gigante de Redmond caracterizou a intrusão como “contínua”.
Em um arquivo atualizado da Securities and Exchange dos EUA e em uma postagem de segurança complementar, a Microsoft forneceu mais detalhes sobre a violação, que foi divulgada originalmente em janeiro.
Naquela época, a Microsoft disse que Midnight Blizzard – o crescimento apoiado pelo Kremlin, também conhecido como Cozy Bear e APT29 que estava por trás do ataque à cadeia de suprimentos da SolarWinds – bisbilhotou “uma porcentagem muito pequena de contas de e-mail corporativas da Microsoft” e roubou mensagens e arquivos internos. pertencentes à equipe de liderança, segurança cibernética e funcionários jurídicos.
“Não há evidências de que o autor da ameaça tenha tido acesso aos ambientes dos clientes, sistemas de produção, código-fonte ou sistemas de IA”, disse Redmond em janeiro.
Desde então, isso mudou.
“Nas últimas semanas, vimos evidências de que a Midnight Blizzard está usando informações inicialmente exfiltradas de nossos sistemas de e-mail corporativos para obter, ou tentar obter, acesso não autorizado”, de acordo com a última divulgação. “Isso incluiu acesso a alguns repositórios de código-fonte e sistemas internos da empresa.”
A Microsoft afirma que “não há evidências” até agora de que os criminosos russos tenham comprometido qualquer sistema voltado para o cliente. Mas isso não é por falta de tentativa.
“É evidente que a Midnight Blizzard está tentando usar segredos de diferentes tipos que encontrou”, admitiu a empresa. “Alguns desses segredos foram compartilhados entre clientes e a Microsoft por e-mail e, à medida que os descobrimos em nosso e-mail exfiltrado, estivemos e estamos entrando em contato com esses clientes para ajudá-los a tomar medidas de mitigação”.
Também parece que esta não será a última vez que ouviremos sobre a invasão, que começou em novembro e usou ataques de spray de senha para comprometer uma conta corporativa que não tinha autenticação multifator habilitada.
Os espiões ainda estão tentando acessar contas adicionais da Microsoft, e fomos informados de que o volume de sprays de senhas aumentou dez vezes em fevereiro em comparação com o volume desses ataques visto em janeiro.
O lado bom, de acordo com o Formulário 8-K atualizado da Microsoft, é que a confusão de segurança não teve nenhum impacto financeiro nas operações – ainda.
Redmond diz que sua investigação está em andamento e prometeu compartilhar atualizações.
“O ataque contínuo da Midnight Blizzard é caracterizado por um comprometimento sustentado e significativo dos recursos, coordenação e foco do ator da ameaça”, disse a atualização de segurança. “Pode estar a utilizar a informação que obteve para acumular uma imagem das áreas a atacar e melhorar a sua capacidade para o fazer. Isto reflecte o que se tornou, de forma mais ampla, um cenário de ameaças globais sem precedentes, especialmente em termos de ataques sofisticados de Estados-nação”. ®
.
