Microsoft dice que piratas informáticos rusos respaldados por el estado accedieron a correos electrónicos de miembros del equipo de liderazgo senior News of the World
Hackers rusos respaldados por el estado irrumpieron en el sistema de correo electrónico corporativo de Microsoft y accedieron a las cuentas de miembros del equipo de liderazgo de la compañía y de empleados de sus equipos legales y de ciberseguridad, dijo la compañía el viernes.
En una publicación de blog, microsoft La compañía dijo que la intrusión comenzó a finales de noviembre y fue descubierta el 12 de enero. La compañía dijo que el mismo equipo de piratas informáticos rusos altamente calificados detrás de la violación de SolarWinds fue responsable de la intrusión. La compañía dijo que se accedió a una «pequeña cantidad» de cuentas corporativas de Microsoft y que se robaron algunos correos electrónicos y archivos adjuntos.
Un portavoz de la compañía dijo que Microsoft no tenía comentarios inmediatos sobre cuáles o cuántas cuentas de correo electrónico de los altos directivos se vieron comprometidas. Microsoft dijo en una presentación regulatoria el viernes que pudo eliminar el acceso de los piratas informáticos a las cuentas comprometidas alrededor del 13 de enero.
«Estamos notificando a los empleados cuyos correos electrónicos fueron accedidos», dijo Microsoft, agregando que una investigación mostró que los piratas informáticos inicialmente atacaron cuentas de correo electrónico para obtener información relacionada con su actividad.
La divulgación de Microsoft se produce un mes después de que entrara en vigor una nueva norma de la SEC que obliga a las empresas públicas a revelar infracciones que podrían afectar negativamente a sus negocios. Tienen cuatro días para hacerlo a menos que reciban una exención de seguridad nacional.
En una presentación regulatoria ante la Comisión de Bolsa y Valores de EE. UU. el viernes, Microsoft dijo que «a la fecha de esta presentación, el incidente no ha tenido un impacto material en sus operaciones». Sin embargo, la compañía añadió que aún no había «determinado si es razonablemente probable que el incidente tenga un impacto material en sus finanzas».
Microsoft, con sede en Redmond, Washington, dijo que los piratas informáticos de la agencia de inteligencia extranjera SVR de Rusia pudieron obtener acceso comprometiendo las credenciales de una cuenta de prueba «heredada», lo que indica que el código de la cuenta estaba desactualizado.
Una vez que se afianzaron, utilizaron los permisos de la cuenta para acceder a las cuentas del equipo de liderazgo superior y otros. La técnica de ataque de fuerza bruta utilizada por los piratas informáticos se denomina «rociación de contraseñas».
Los actores de amenazas utilizan una única contraseña común para intentar iniciar sesión en varias cuentas. En una publicación de blog de agosto, Microsoft describió cómo su equipo de inteligencia de amenazas descubrió que el mismo equipo de hackers ruso utilizó la técnica para intentar robar las credenciales de al menos 40 organizaciones globales diferentes a través de chats de Microsoft Teams.
«Este ataque no fue el resultado de una vulnerabilidad en un producto o servicio de Microsoft», dijo la compañía en una publicación de blog.
«Hasta la fecha, no hay evidencia de que los actores de amenazas tengan acceso a los entornos de los clientes, sistemas de producción, código fuente o sistemas de inteligencia artificial. Si se requiere alguna acción, notificaremos a los clientes. Microsoft llama al grupo de hackers «Midnight Blizzard». Antes de renovar su nomenclatura de actores de amenazas el año pasado, el grupo se refirió al grupo como Nobelium. Mandiant, una empresa de ciberseguridad propiedad de Google, llama al grupo Cozy Bear.
En una publicación de blog de 2021, Microsoft calificó el hack de SolarWinds como «el ataque a un estado-nación más sofisticado de la historia».
Además de agencias gubernamentales estadounidenses como el Departamento de Justicia y el Departamento del Tesoro, más de 100 empresas privadas y centros de estudios se vieron comprometidos, incluidos proveedores de software y telecomunicaciones.
La principal misión del SVR es la recopilación de inteligencia. Se dirige principalmente a gobiernos, diplomáticos, grupos de expertos y proveedores de servicios de TI de Estados Unidos y Europa.