Rosyjska grupa APT uzyskała dostęp do treści emaili części pracowników Microsoftu. W tym szefów działów cybersecurity.

Microsoft w dość krótkiej notce informuje o incydencie:

W listopadzie 2023 r. atakujący przejął kontrolę nad pewnym testowym kontem (wykorzystywało słabe hasło) i zdobył tzw. przyczółek w naszej infrastrukturze. Następnie wykorzystał zdobyte uprawnienia konta, aby uzyskać dostęp do bardzo niewielkiego odsetka firmowych kont e-mail firmy Microsoft, w tym członków naszego wyższego kierownictwa / pracowników zajmujących się cyberbezpieczeństwem, kwestiami prawnymi i innymi. Następnie pobrali pewne maile (wraz załącznikami).

Beginning in late November 2023, the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage of Microsoft corporate email accounts, including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, and exfiltrated some emails and attached documents.

Dalej Microsoft wskazuje, że atakujący nie uzyskał dostępu do innej części infrastruktury ani np. nie wprowadził specjalnie podatności w produktach.

Jako atakujący wskazana została grupa grupa hackerska powiązana z rosyjskim rządem – Midnight Blizzard / Nobelium. Na uwagę wskazuje też fakt, że atakujący dostali się do infrastruktury Microsoftu najpewniej w listopadzie 2023 roku, a atak został wykryty dopiero w styczniu:

The Microsoft security team detected a nation-state attack on our corporate systems on January 12, 2024.

~ms