Los atacantes rusos accedieron al código fuente y a sistemas internos de Microsoft
"Hasta la fecha no hemos encontrado evidencia de que los sistemas de atención al cliente alojados en Microsoft hayan sido comprometidos”, ha señalado la compañía en una actualización de seguridad.
El grupo de atacantes patrocinados por Rusia que comprometió las cuentas de correo electrónico corporativas de varios empleados de alto nivel de Microsoft y de miembros de su equipo de seguridad el pasado mes de noviembre, ha estado utilizando la información robada para acceder a los sistemas internos.
“En las últimas semanas, hemos visto evidencias de que Midnight Blizzard está utilizando información sustraída de nuestros sistemas de email para intentar obtener accesos no autorizados”, ha señalado la compañía en una actualización de su investigación. “Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la empresa. Hasta la fecha no hemos encontrado evidencia de que los sistemas de atención al cliente alojados en Microsoft hayan sido comprometidos”.
Midnight Blizzard es la designación de Microsoft par aun grupo también conocido como Nobelium o APT29 y que según las agencias de inteligencia de Estados Unidos y Reino Unido, forma parte del Servicio de Inteligencia Exterior de Rusia, el SVR. Este ha sido responsable de muchos ataques de alto perfil a lo largo de los últimos años, incluido el compromiso de la cadena de suministro de 2021 que involucró a SolarWinds y que afectó a miles de organizaciones y agencias gubernamentales.
En enero, la compañía de Redmond anunció que el grupo logró obtener acceso a una cuenta de inquilino de prueba heredada en su infraestructura mediante un ataque de pulverización de contraseñas. Esta es una técnica en la que se intenta acceder a una cuenta utilizando una lista de credenciales comprometidas en otras infracciones. En este caso, los atacantes limitaron el número de intentos y el tiempo entre ellos para evadir la detección.
La cuenta de prueba no tenía activada la autenticación multifactor y tenía acceso a una aplicación OAuth que tenía un acceso aún más elevado al entorno corporativo de Microsoft. Luego, los atacantes crearon sus propias aplicaciones OAuth y utilizaron la cuenta comprometida para otorgarles la función full_access_as_app al Office 365 Exchange Online de la empresa. Esta función proporciona acceso completo a los buzones de correo.
El ataque ocurrió en noviembre, pero Microsoft lo detectó el 12 de enero, por lo que los atacantes tuvieron acceso al sistema de correo electrónico corporativo de Microsoft durante más de un mes. Durante este tiempo, accedieron a los buzones de correo de empleados que trabajan en puestos de liderazgo, ciberseguridad y legales, incluidos empleados que estaban investigando al propio grupo APT.
"Es evidente que Midnight Blizzard está intentando utilizar secretos de diferentes tipos que ha encontrado", dijo Microsoft en la nueva actualización. "Algunos de estos secretos fueron compartidos entre los clientes y Microsoft por correo electrónico y, a medida que los descubrimos en nuestro correo electrónico filtrado, nos hemos comunicado y nos comunicamos con estos clientes para ayudarlos a tomar medidas de mitigación".
El grupo ruso APT intenta aprovechar los secretos robados de los correos electrónicos de Microsoft
Según la telemetría de la compañía, Midnight Blizzard aumentó diez veces el volumen de su difusión de contraseñas y otros ataques el mes pasado en comparación con enero, lo que podría ser una indicación de que está tratando de sacar provecho de la información robada. Este grupo tiene los recursos y el compromiso para lanzar ataques sofisticados y dirigidos y la información robada de los correos electrónicos de Microsoft podría ayudar en sus esfuerzos de reconocimiento para descubrir nuevas áreas, sistemas y cuentas para atacar.
Midnight Blizzard ya ha demostrado su capacidad para lanzar ataques a la cadena de suministro y explotar las relaciones comerciales y el acceso compartido entre organizaciones, una técnica conocida como salto de isla. Las organizaciones deben asegurarse de aplicar los principios de privilegio mínimo a todas sus cuentas, habilitar múltiple factor de autenticación y deshabilitar las cuentas heredadas que no hayan sido utilizadas durante un período prolongado.
