En una publicación de blog reciente, Microsoft reveló que los mismos piratas informáticos rusos que violaron SolarWinds también atacaron a otras organizaciones, incluidas agencias gubernamentales, grupos de expertos, consultores y organizaciones no gubernamentales. La compañía dijo que los piratas informáticos utilizaron una variedad de técnicas para obtener acceso a las redes de las víctimas, como la pulverización de contraseñas, la fuerza bruta y el phishing.
Microsoft dijo que ha estado rastreando la actividad de los piratas informáticos, a quienes llama Nobelium, desde diciembre de 2020, cuando descubrió que habían comprometido a SolarWinds, un proveedor de software que proporciona herramientas de administración de redes a miles de clientes. Los piratas informáticos insertaron código malicioso en las actualizaciones de software de SolarWinds, lo que les permitió espiar las comunicaciones y los datos de las organizaciones afectadas.
Según Microsoft, Nobelium ha seguido lanzando ataques contra diversas entidades involucradas en el trabajo internacional de desarrollo, humanitario y de derechos humanos. La compañía dijo que notificó a todos sus clientes que fueron atacados o comprometidos por los piratas informáticos y les brindó orientación y recursos para proteger sus sistemas.
Microsoft también dijo que ha estado trabajando con el gobierno de Estados Unidos y otros socios para compartir información y coordinar respuestas a la amenaza. La compañía instó a todas las organizaciones a tomar medidas para protegerse de los ataques cibernéticos, como habilitar la autenticación multifactor, actualizar el software y los sistemas y educar a los empleados sobre el phishing y la ingeniería social.
En una actualización reciente, Microsoft reveló más detalles sobre el sofisticado ciberataque llevado a cabo por Midnight Blizzard, un grupo de hackers respaldado por Rusia. Los atacantes utilizaron una técnica llamada pulverización de contraseñas, que implica probar contraseñas comunes en varias cuentas, para violar un sistema de correo electrónico heredado que Microsoft estaba en proceso de desmantelar. Luego, los atacantes utilizaron las cuentas comprometidas para acceder a una pequeña cantidad de cuentas de correo electrónico corporativas de Microsoft, en su mayoría pertenecientes a altos ejecutivos y empleados de departamentos sensibles. Los atacantes también descargaron algunos correos electrónicos y archivos adjuntos de estas cuentas.
Uno de los aspectos más interesantes del ataque es que los hackers parecían estar buscando información sobre ellos mismos y sus actividades, presumiblemente para medir cuánto sabe Microsoft sobre ellos y sus métodos. Microsoft dijo que ha estado trabajando estrechamente con las autoridades y otros socios para investigar y responder al incidente, y que ha tomado medidas para mejorar su postura de seguridad y proteger a sus clientes.
Otra empresa que se vio afectada por la campaña de Midnight Blizzard es Hewlett Packard Enterprise (HPE), que anunció el jueves que su sistema de correo electrónico alojado en Microsoft fue violado por el mismo grupo. HPE dijo que fue notificada de la infracción el 12 de diciembre y que su propia investigación encontró que los atacantes accedieron y extrajeron datos de un pequeño porcentaje de los buzones de correo de HPE a partir de mayo de 2023. HPE también dijo que este incidente estaba relacionado con uno anterior. , donde los piratas informáticos robaron algunos archivos de SharePoint de su red.
La conexión entre los dos incidentes no está clara en este momento, pero sugiere que Midnight Blizzard ha estado llevando a cabo una operación de espionaje dirigida a largo plazo contra múltiples empresas y organizaciones. Aún se desconoce el alcance total y el impacto de sus actividades, pero demuestran el alto nivel de sofisticación y persistencia de este actor de amenazas.