12 января 2024 года служба безопасности Microsoft обнаружила атаку со стороны национального государства на наши корпоративные системы и немедленно активировала наш процесс реагирования для расследования, пресечения вредоносной активности, смягчения последствий атаки и отказа субъекту угрозы в дальнейшем доступе. Microsoft идентифицировала субъекта угрозы как Midnight Blizzard, спонсируемую российским государством организацию, также известную как Nobelium. В рамках нашей постоянной приверженности ответственной прозрачности, недавно подтвержденной в нашей Инициативе по обеспечению безопасного будущего (SFI), мы делимся этим обновлением.
Начиная с конца ноября 2023 года злоумышленник использовал атаку с использованием пароля, чтобы скомпрометировать устаревшую непроизводственную учетную запись тестового клиента и закрепиться, а затем использовал разрешения учетной записи для доступа к очень небольшому проценту учетных записей корпоративной электронной почты Microsoft, включая членов нашей команды высшего руководства и сотрудников, отвечающих за кибербезопасность, юридические и другие функции, и отфильтровал некоторые электронные письма и прикрепленные документы. Расследование показывает, что изначально они нацеливались на учетные записи электронной почты для получения информации, относящейся к самой Midnight Blizzard. Мы находимся в процессе уведомления сотрудников, к электронной почте которых был осуществлен доступ.
Атака не была результатом уязвимости в продуктах или службах Microsoft. На сегодняшний день нет доказательств того, что исполнитель угрозы имел какой-либо доступ к клиентской среде, производственным системам, исходному коду или системам искусственного интеллекта. Мы уведомим клиентов, если потребуются какие-либо действия.
Эта атака подчеркивает сохраняющийся риск, который представляют для всех организаций хорошо обеспеченные ресурсами государственные агенты, представляющие угрозу, такие как Midnight Blizzard.
Как мы говорили в конце прошлого года, когда анонсировали Инициативу по обеспечению безопасного будущего (SFI), учитывая реальность субъектов угроз, которые получают ресурсы и финансируются национальными государствами, мы меняем баланс, который нам нужен для обеспечения безопасности и бизнес-рисков – традиционного расчета просто больше недостаточно. Для Microsoft этот инцидент подчеркнул настоятельную необходимость действовать еще быстрее. Мы немедленно примем меры по применению наших текущих стандартов безопасности к устаревшим системам и внутренним бизнес-процессам, принадлежащим Microsoft, даже если эти изменения могут привести к сбоям в существующих бизнес-процессах.
Это, вероятно, вызовет некоторый уровень сбоев, пока мы адаптируемся к этой новой реальности, но это необходимый шаг, и это только первый из нескольких, которые мы предпримем, чтобы принять эту философию.
Мы продолжаем наше расследование и предпримем дополнительные действия на основе результатов этого расследования, а также продолжим работать с правоохранительными органами и соответствующими регулирующими органами. Мы твердо намерены делиться дополнительной информацией и нашими наработками, чтобы сообщество могло извлечь пользу как из нашего опыта, так и из наблюдений об исполнителе угрозы. Мы предоставим дополнительные сведения по мере необходимости.
Источник: https://msrc.microsoft.com