El equipo de seguridad de Microsoft detecto este 12 de enero pasado un ataque en toda su infraestructura corporativa estadounidense e inmediatamente activó su proceso de respuesta para investigar, mitigar y denegar acceso a los intrusos. Según informan, lograron identificar a los atacantes como al grupo Midnight Blizzard quienes según la nota serían el grupo también conocido como Nobelium.
En los últimos días del mes de noviembre del 2023, el grupo utilizó un ataque conocido como Password Spray Attack para acceder a sistemas legacy no-productivos y luego utilizaron los permisos obtenidos para acceder a una pequeña cantidad de cuentas de correo corporativo de Microsoft, incluyendo cuentas de los leads senior y de varios empleados de sus departamentos de ciberseguridad y legales, entre otros.
Algunos de estos correos y documentos adjuntos fueron filtrados en internet.
La investigación indica que, en un principio, los atacantes querían encontrar que información tenía Microsoft sobre ellos, es decir Midnight Blizzard y en su momento se les notificó a los empleados cuyas cuentas habían sido vulneradas acerca de lo sucedido.
Microsoft también aprovecha el comunicado para indicar que el ataque no es el resultado de alguna vulnerabilidad en sus productos y servicios, y que, al día de la fecha, no existiría evidencia que los atacantes lograron obtener acceso a entornos de clientes, sistemas en producción, código fuente o sistemas de inteligencia artificial, aunque no descartan comunicarse con clientes afectados ante el ataque si esto fuera así.
También destacan la necesidad de actuar con mayor celeridad ante este tipo de ataques y virar de su viejo sistema de contingenica de riesgo de negocio y seguridad a algo mucho más ágil y drastico, aun si al aplicar los estandares de seguridad a sistemas legacy e internos de negocio puedan llegar a causar disrupciones en los sistemas de negocios actuales.
Entienden que una nueva metodología causará algún nivel de disrupción mientras que se adaptan a esta nueva realidad, pero consideran que es un paso necesario y el primero a tomar de una serie de nuevos cambios para mejorar su seguridad.
Por otra parte, cierran el comunicado anunciando que continuaran con la investigación y se seguiran tomando acciones en base a lo que la investigación vaya revelando. Al mismo tiempo que trabajaran con las fuerzas de seguridad y entes reguladores relacionados. Expresan que compartir esta información es de gran beneficio para la comunidad ya que puede resultar muy útil que se esté en conocimiento sobre las actividades de estos actores. A medida que avance el proceso de investigación revelarán más detalles.