Microsoft afferma che gli hacker russi hanno preso di mira anche altre organizzazioni
In un recente post sul blog, Microsoft ha rivelato che gli stessi hacker russi che hanno violato SolarWinds hanno preso di mira anche altre organizzazioni, tra cui agenzie governative, think tank, consulenti e organizzazioni non governative. L’azienda ha dichiarato che gli hacker hanno utilizzato una serie di tecniche per ottenere l’accesso alle reti delle vittime, tra cui il cracking delle password, la forza bruta e il phishing.
Microsoft ha dichiarato di aver seguito l’attività degli hacker, che chiama Nobelium, dal dicembre 2020, quando ha scoperto che avevano compromesso SolarWinds, un fornitore di software che fornisce strumenti di gestione della rete a migliaia di clienti. Gli hacker hanno inserito un codice maligno negli aggiornamenti software di SolarWinds, consentendo loro di origliare le comunicazioni e i dati delle organizzazioni colpite.
Secondo Microsoft, Nobelium ha continuato a lanciare attacchi contro varie entità coinvolte nello sviluppo internazionale, nel lavoro umanitario e nei diritti umani. L’azienda ha dichiarato di aver avvisato tutti i suoi clienti che sono stati attaccati o compromessi dagli hacker e di aver fornito loro indicazioni e risorse per proteggere i loro sistemi.
Microsoft ha inoltre dichiarato di aver collaborato con il governo degli Stati Uniti e altri partner per condividere le informazioni e coordinare le risposte alla minaccia. L’azienda ha esortato tutte le organizzazioni a prendere provvedimenti per proteggersi dagli attacchi informatici, ad esempio abilitando l’autenticazione a più fattori, aggiornando software e sistemi ed educando i dipendenti al phishing e all’ingegneria sociale.
In un recente aggiornamento, Microsoft ha rivelato ulteriori dettagli sul sofisticato attacco informatico condotto da Midnight Blizzard, un gruppo di hacker sostenuto dalla Russia. Gli aggressori hanno utilizzato una tecnica chiamata password spraying, che consiste nel provare password comuni su più account, per violare un sistema di posta elettronica legacy che Microsoft stava per dismettere. Gli aggressori hanno poi utilizzato gli account compromessi per accedere a un piccolo numero di account e-mail aziendali di Microsoft, per lo più appartenenti a dirigenti e dipendenti di reparti sensibili. Gli aggressori hanno anche scaricato alcune e-mail e allegati da questi account.
Uno degli aspetti più interessanti dell’attacco è che gli hacker sembravano cercare informazioni su se stessi e sulle loro attività, presumibilmente per valutare quanto Microsoft sia a conoscenza di loro e dei loro metodi. Microsoft ha dichiarato di aver lavorato a stretto contatto con le autorità e altri partner per indagare e rispondere all’incidente e di aver preso provvedimenti per migliorare la propria sicurezza e proteggere i propri clienti.
Un’altra azienda colpita dalla campagna Midnight Blizzard è Hewlett Packard Enterprise (HPE), che giovedì ha annunciato che il suo sistema di posta elettronica ospitato da Microsoft è stato violato dallo stesso gruppo. HPE ha dichiarato di essere stata informata della violazione il 12 dicembre e che la propria indagine ha rilevato che gli aggressori hanno avuto accesso ed estratto dati da una piccola percentuale di caselle di posta elettronica di HPE a partire da maggio 2023. HPE ha inoltre dichiarato che questo incidente è collegato a uno precedente. Gli hacker hanno rubato alcuni file SharePoint dalla sua rete.
Il collegamento tra i due incidenti non è chiaro in questa fase, ma suggerisce che Midnight Blizzard stia conducendo un’operazione di spionaggio mirato a lungo termine contro diverse aziende e organizzazioni. La portata e l’impatto delle loro attività sono ancora sconosciuti, ma dimostrano l’alto livello di sofisticazione e persistenza di questo attore di minacce.
