Em nova publicação disponibilizada em seu blog oficial, a Microsoft informou ter encontrado evidências de que os seus repositórios de códigos-fonte foram expostos pelo incidente cibernético ocorrido no final do último mês de janeiro. Segundo a nota, não há evidências de que os sistemas voltados ao atendimento de clientes tenha sido igualmente comprometido.
Na época, o ciberataque movido pelo grupo cibercriminoso Midnight Blizzard se aproveitou de credenciais comprometidas para se infiltrar na rede interna. A invasão causou o vazamento de alguns documentos, obrigando a gigante de tecnologia a cooperar com as autoridades competentes em favor da solução dessa ocorrência.
Desde então, a Microsoft segue investigando toda sua estrutura em busca de novas brechas de proteção ou comprometimentos indevidos que resultem em novas ameaças. Esse processo descobriu evidências de que o grupo seguia usando informações exfiltradas para obter acessos não autorizados. Entre os setores ameaçados, estavam os repositórios de código-fonte e outros sistemas internos, não especificados.
“É evidente que a Midnight Blizzard está tentando usar segredos de diferentes tipos que encontrou. Alguns deles foram compartilhados entre clientes e a Microsoft por e-mail e, à medida que os descobrimos em nossos endereços exfiltrados, entramos em contato com esses clientes para ajudá-los a tomar medidas de mitigação”, continuou a nota.
Apesar disso, a Big Tech indica um aumento no volume de diversos métodos de ataque, como sprays de senhas, em até 10 vezes em fevereiro, em comparação com o volume percebido no fim de janeiro. A companhia trabalha com a hipótese de o agente hostil usar as informações obtidas para acumular uma imagem das áreas a serem atacadas e melhorar sua capacidade de fazê-lo.
A nota conclui afirmando que todos os investimentos em Segurança da Informação foram ampliados nesse intervalo de tempo, bem como aumentaram a mobilização e coordenação com empresas terceiras e parceiros, visando aprimorar a capacidade de defesa, proteção e fortalecimento do ambiente contra essa ameaça persistente avançada.
“O ataque contínuo da Midnight Blizzard é caracterizado por um comprometimento contínuo e significativo dos recursos, da coordenação e do foco do agente da ameaça. Isso reflete o que se tornou, de forma mais ampla, um cenário de ameaças globais sem precedentes, especialmente em termos de ataques sofisticados de estados-nação”, conclui a nota.
A Security Report publica, na íntegra, comunicado da Microsoft veiculado em seu blog?
Este blog fornece uma atualização sobre o ataque de estado-nação detectado pela Equipe de Segurança da Microsoft em 12 de janeiro de 2024.
Conforme compartilhamos, em 19 de janeiro, a equipe de segurança detectou esse ataque em nossos sistemas de e-mail corporativo e ativou imediatamente nosso processo de resposta. A investigação da Microsoft Threat Intelligence identificou o agente da ameaça como Midnight Blizzard, o agente patrocinado pelo Estado russo também conhecido como NOBELIUM.
Como dissemos naquela ocasião, nossa investigação estava em andamento e forneceríamos mais detalhes conforme apropriado.
Nas últimas semanas, vimos evidências de que a Midnight Blizzard está usando informações inicialmente exfiltradas de nossos sistemas de e-mail corporativos para obter, ou tentar obter, acesso não autorizado. Isso incluiu acesso a alguns dos repositórios de código-fonte e sistemas internos da empresa. Até o momento, não encontramos nenhuma evidência de que os sistemas hospedados pela Microsoft voltados para o cliente tenham sido comprometidos.
É evidente que a Midnight Blizzard está tentando usar segredos de diferentes tipos que encontrou. Alguns desses segredos foram compartilhados entre clientes e a Microsoft por e-mail e, à medida que os descobrimos em nossos e-mails exfiltrados, entramos em contato com esses clientes para ajudá-los a tomar medidas de mitigação. A Midnight Blizzard aumentou o volume de alguns aspectos do ataque, como sprays de senhas, em até 10 vezes em fevereiro, em comparação com o volume já grande que vimos em janeiro de 2024.
O ataque contínuo da Midnight Blizzard é caracterizado por um comprometimento contínuo e significativo dos recursos, da coordenação e do foco do agente da ameaça. Ele pode estar usando as informações obtidas para acumular uma imagem das áreas a serem atacadas e melhorar sua capacidade de fazê-lo. Isso reflete o que se tornou, de forma mais ampla, um cenário de ameaças globais sem precedentes, especialmente em termos de ataques sofisticados de estados-nação.
Em toda a Microsoft, aumentamos nossos investimentos em segurança, a coordenação e a mobilização entre as empresas e aprimoramos nossa capacidade de nos defender, proteger e fortalecer nosso ambiente contra essa ameaça persistente avançada. Temos e continuaremos a colocar em prática controles de segurança, detecções e monitoramento adicionais e aprimorados.
Nossas investigações ativas das atividades da Midnight Blizzard estão em andamento, e as conclusões de nossas investigações continuarão a evoluir. Continuamos comprometidos em compartilhar o que aprendemos.
