Microsoft reconhece ter sido hackeada pela segunda vez este ano, pelo mesmo grupo patrocinado pelo estado russo Midnight Blizzard. A empresa confirma que esta nova violação é resultado da anterior, já que os hackers conseguiram obter segredos de acesso.
Microsoft hackeada, Código-fonte vazado
Em seu arquivamento K-8 para a SEC, A Microsoft afirma a relação do último hack com aquele que foi descoberto em janeiro 2024. Um ator de ameaça russo conhecido como Nobelium/Midnight Blizzard conseguiu invadir sistemas da Microsoft. O hack aconteceu por volta de novembro, com hackers ficando lá dentro até janeiro. Isso acabou resultando em adversários obtendo acesso aos e-mails de executivos e a certas ferramentas de autenticação. E acontece que os invasores conseguiram tirar alguns dos segredos de autenticação mesmo depois de ser descoberto.
No último ataque, Midnight Blizzard usou esses segredos de autenticação vazados para entrar nas redes internas da Microsoft mais uma vez. O mesmo arquivo K-8 revela os fatos de hackers obtendo acesso (ou pelo menos tentando) usando as referidas chaves vazadas. Entre os sistemas específicos sob ataque estão os repositórios de código-fonte e alguns dos sistemas internos. Microsoft alerta que o acesso não autorizado pode acontecer repetidamente no futuro, o que significa que eles não sabem a escala exata do vazamento de segredos de autenticação.
Microsoft em arquivamento K-8
Uma coisa feliz é que ativos voltados para o cliente e seus dados não foram comprometidos. E isso provavelmente é verdade, já que os ataques anteriores se concentraram principalmente em executivos de alto nível, que mal têm acesso aos dados dos clientes. E isso é um grande alívio: a escala dos ataques consequentes devido aos dados vazados do Azure, Outlook ou outros serviços em nuvem poderia ter sido tremendo. Ainda, não há desculpas para uma empresa tão grande ser vítima de hackers.
Quem é a Nevasca da Meia-Noite?
Nobelium/APT29/Fancy Bear ou Midnight Blizzard, pela nova classificação da Microsoft, é um ator de ameaça patrocinado pelo Estado russo. Visa principalmente a espionagem cibernética, sendo liderado pela Agência Russa de Inteligência Externa (SVR). O grupo é conhecido por escolher alvos barulhentos para seus ataques, particularmente agências governamentais, empreiteiros militares e similares.
A Microsoft se tornou seu ponto de interesse em 2022, quando eles conseguiram hackear um sistema SSO auxiliar para Windows Server. 2023 embora tenha se tornado um ano de hack “adequado”. De volta em novembro 2023, APT29 conseguiu permanecer na rede por algum tempo, comprometendo muitos sistemas internos diferentes. Considerando a incerteza quanto à quantidade de elementos comprometidos, eles certamente irão repetir.