По словам компании, те же хакеры, стоящие за атакой SolarWinds, смогли разместить программное обеспечение для кражи информации на компьютере представителя службы поддержки клиентов. Открытие произошло, когда Microsoft расследовала новые взломы, совершенные той же хакерской группой.
В пятницу Microsoft заявила, что хакеры взломали компьютер, используемый одним из ее агентов по обслуживанию клиентов, и украли данные учетных записей, которые затем использовали для запуска «целенаправленных» атак на клиентов. Компания определила хакерскую группу как Nobelium, ту самую, которая стояла за прошлогодним крупным взломом SolarWinds.
Microsoft защитила компьютер, который хакеры заразили программным обеспечением для кражи информации, и уведомила «небольшое количество» затронутых клиентов, говорится в пятничном сообщении на сайте Центра реагирования на безопасность.
Компания разослала пострадавшим подписчикам Microsoft Services предупреждение о том, что хакеры имели доступ к информации во второй половине мая, сообщило агентство Reuters поздно вечером в пятницу. По сообщению новостного агентства, украденные данные включали контактную информацию для выставления счетов и то, за какие услуги платят клиенты. Хакеры могут использовать такие базовые данные в поддельных электронных письмах и телефонных звонках в рамках фишинговых атак, которые могут помочь им получить доступ к более конфиденциальной информации.
Microsoft предупредила пострадавших клиентов проявлять осторожность при общении с контактными лицами по выставлению счетов и предположила, что изменение связанных паролей и имен пользователей может быть хорошей идеей, сообщает Reuters. Компания также призвала клиентов обязательно использовать многофакторную аутентификацию для защиты от взломов. Microsoft расследование взлома продолжается, и пока не обнаружено, что какие-либо клиенты были успешно скомпрометированы.
Технологический гигант заявил, что обнаружил нарушение, изучая новую деятельность группы Nobelium. В нем говорилось, что чуть более половины деятельности было направлено на компании, занимающиеся информационными технологиями, за ними следовали правительственные агентства, а затем небольшой процент неправительственных агентств, аналитических центров и компаний, оказывающих финансовые услуги.
Хакерская кампания SolarWinds попала в заголовки газет в декабре 2020 года. В ней использовалось зараженное программное обеспечение от управляющей ИТ-компании SolarWinds, а также другие методы взлома, чтобы проникнуть в тысячи организаций и проникнуть глубже как минимум в девять федеральных агентств и 100 частных компаний, в том числе Microsoft.
Атака цепочки поставок SolarWinds была не единственным способом, которым Nobelium скомпрометировал свои цели. Провайдер защиты от вредоносных программ Malwarebytes заявил, что он также был заражен Nobelium, но через другой вектор, который компания не идентифицировала.
И Microsoft, и поставщик управления электронной почтой Mimecast также заявили, что они тоже были взломаны Nobelium, который затем использовал компромисс для взлома клиентов или партнеров компании.
Microsoft заявила, что деятельность по подбору паролей была нацелена на конкретных клиентов, 57 процентов из которых - ИТ-компании, 20 процентов - государственные организации, а остальные - неправительственные организации, аналитические центры и финансовые службы. Около 45 процентов деятельности было сосредоточено на интересах США, 10 процентов были нацелены на клиентов из Великобритании, и меньшее количество было в Германии и Канаде. Всего были выбраны клиенты из 36 стран.
Reuters со ссылкой на представителя Microsoft сообщило, что обнаруженная в пятницу утечка не была частью предыдущей успешной атаки Nobelium на Microsoft. Компания еще не предоставила ключевые подробности, в том числе, как долго компьютер агента был скомпрометирован и был ли взломан компьютер, управляемый Microsoft, в сети Microsoft или устройство подрядчика в домашней сети.
Обнародование информации в пятницу стало шоком для многих аналитиков в области безопасности.
«Я имею в виду, Господи, если Microsoft не может защитить свой собственный комплект от вирусов, как должен это делать остальной корпоративный мир?» Об этом рассказал Кенн Уайт, руководитель службы безопасности продуктов в MongoDB. «Вы могли подумать, что системы, ориентированные на клиентов, будут одними из самых надежных».
У Microsoft не было дальнейших комментариев по поводу нарушения обслуживания клиентов, кроме сообщения в блоге.