A Microsoft diz que os hackers russos também atacaram outras organizações
Em uma publicação recente em seu blog, a Microsoft revelou que os mesmos hackers russos que violaram a SolarWinds também visaram outras organizações, incluindo agências governamentais, think tanks, consultores e organizações não governamentais. A empresa disse que os hackers usaram uma variedade de técnicas para obter acesso às redes das vítimas, incluindo quebra de senhas, força bruta e phishing.
A Microsoft disse que está rastreando a atividade dos hackers, que ela chama de Nobelium, desde dezembro de 2020, quando descobriu que eles haviam comprometido a SolarWinds, um fornecedor de software que fornece ferramentas de gerenciamento de rede para milhares de clientes. Os hackers inseriram códigos maliciosos nas atualizações de software da SolarWinds, permitindo que eles espionassem as comunicações e os dados das organizações afetadas.
De acordo com a Microsoft, a Nobelium continuou a lançar ataques contra várias entidades envolvidas em trabalhos de desenvolvimento internacional, humanitários e de direitos humanos. A empresa disse que notificou todos os seus clientes que foram atacados ou comprometidos pelos hackers e forneceu a eles orientação e recursos para proteger seus sistemas.
A Microsoft também disse que tem trabalhado com o governo dos EUA e outros parceiros para compartilhar informações e coordenar as respostas à ameaça. A empresa pediu a todas as organizações que tomem medidas para se protegerem de ataques cibernéticos, como habilitar a autenticação multifator, atualizar softwares e sistemas e educar os funcionários sobre phishing e engenharia social.
Em uma atualização recente, a Microsoft revelou mais detalhes sobre o sofisticado ataque cibernético realizado pela Midnight Blizzard, um grupo de hackers apoiado pela Rússia. Os invasores usaram uma técnica chamada «password spraying», que envolve a tentativa de senhas comuns em várias contas, para violar um sistema de e-mail legado que a Microsoft estava em processo de desativação. Em seguida, os invasores usaram as contas comprometidas para acessar um pequeno número de contas de e-mail corporativo da Microsoft, a maioria pertencente a executivos seniores e funcionários de departamentos confidenciais. Os invasores também baixaram alguns e-mails e anexos dessas contas.
Um dos aspectos mais interessantes do ataque é que os hackers pareciam estar buscando informações sobre si mesmos e suas atividades, presumivelmente para avaliar o quanto a Microsoft sabe sobre eles e seus métodos. A Microsoft disse que tem trabalhado em estreita colaboração com as autoridades e outros parceiros para investigar e responder ao incidente, e tomou medidas para melhorar sua postura de segurança e proteger seus clientes.
Outra empresa que foi afetada pela campanha Midnight Blizzard é a Hewlett Packard Enterprise (HPE), que anunciou na quinta-feira que seu sistema de e-mail hospedado na Microsoft foi violado pelo mesmo grupo. A HPE disse que foi notificada da violação em 12 de dezembro e que sua própria investigação descobriu que os invasores acessaram e extraíram dados de uma pequena porcentagem das caixas de correio da HPE a partir de maio de 2023. A HPE também disse que esse incidente estava relacionado a um anterior. Os hackers roubaram alguns arquivos do SharePoint de sua rede.
A conexão entre os dois incidentes não é clara neste momento, mas sugere que a Midnight Blizzard vem conduzindo uma operação de espionagem direcionada de longo prazo contra várias empresas e organizações. O escopo completo e o impacto de suas atividades ainda são desconhecidos, mas demonstram o alto nível de sofisticação e persistência desse agente de ameaças.
