Российские хакеры похитили корпоративную электронную почту Microsoft в результате многомесячного взлома

Компания Microsoft сообщила, что некоторые из ее корпоративных учетных записей электронной почты были взломаны и данные похищены хакерской группой.

Компания обнаружила атаку 12 января, и в ходе расследования Microsoft установила, что она была проведена российскими хакерами, известным как Midnight Blizzard, он же Nobelium или APT29

По словам представителей Microsoft, злоумышленники проникли в их системы в ноябре 2023 года, когда они провели атаку с использованием пароля для доступа к старой тестовой учетной записи с повышенными привилегиями.

Атака с использованием пароля – это тип атаки грубой силы, при которой злоумышленники собирают список потенциальных имен для входа в систему, а затем пытаются войти во все из них, используя определенный пароль. Если этот пароль не срабатывает, они повторяют этот процесс с другими паролями, пока список не закончиться или успешно не взломают учетную запись.

Тот факт, что хакеры смогли получить доступ к учетной записи с помощью грубой силы, указывает на то, что она не была защищена двухфакторной аутентификацией (2FA) или многофакторной аутентификацией (MFA) – практикой безопасности, которую Microsoft рекомендует использовать для всех типов онлайн-аккаунтов.

После того как хакеры получили доступ к «тестовой» учетной записи, хакеры Nobelium, по словам Microsoft, использовали ее для доступа к «небольшому проценту» корпоративных учетных записей электронной почты Microsoft в течение более месяца.

Если угрожающие лица не использовали эту тестовую учетную запись для взлома систем и перехода к учетным записям с более высокими правами, неясно, почему тестовая учетная запись имела права доступа к другим учетным записям в корпоративной системе электронной почты Microsoft.

Microsoft утверждает, что взломанные учетные записи электронной почты включали членов руководства Microsoft, сотрудников отделов кибербезопасности и юридического отдела, у которых хакеры похитили электронные письма и вложения.

«Расследование показывает, что первоначально они нацеливались на учетные записи электронной почты для получения информации, связанной с Midnight Blizzard. Мы находимся в процессе уведомления сотрудников, чья электронная почта была доступна.»
- говорится в сообщении Центра реагирования на угрозы безопасности Microsoft

Microsoft вновь заявляет, что эта утечка была вызвана не уязвимостью в ее продуктах и услугах, а атакой на учетные записи методом перебора паролей.

Пока Microsoft продолжает расследование утечки, она заявила, что будет делиться дополнительными подробностями по мере необходимости.

В заявлении, поданном в Комиссию по ценным бумагам и биржам США, Microsoft заявила, что утечка не оказала существенного влияния на деятельность компании.

Кто такая Nobelium

Nobelium – это, предположительно, российская хакерская команда, который, как считается, стоит за атакой на цепочку поставок SolarWinds в 2020 году, которая также затронула Microsoft.

Microsoft позже подтвердила, что атака SolarWinds позволила хакерам украсть исходный код для ограниченного числа компонентов Azure, Intune и Exchange.

В июне 2021 года хакерская группа снова взломала корпоративную учетную запись Microsoft, получив доступ к инструментам поддержки клиентов.

Хакерская группа, как полагают, является частью Службы внешней разведки России (СВР) и причастна к многочисленным атакам по всему миру, включая нападения на дипломатов и правительственные учреждения.

Подробнее