Investigadores de Microsoft informaron que un grupo de actores rusos denominados ‘Midnight Blizzard’, vulneraron algunos de sus sistemas y repositorios de código fuente utilizando datos de autenticación robados durante un ciberataque en enero de este año. Según lo revelado, los ciberlincuentes habían violado los servidores de correo electrónico corporativo después de utilizar el método de pulverización de contraseñas, que permitía el acceso a una cuenta inquilino de prueba heredada que no era de producción.
Una publicación de blog posterior reveló que, esta cuenta de prueba, no tenía habilitada la autenticación multifactor, lo que permitió a los actores de amenazas obtener acceso y violar los sistemas de Microsoft. Según se supo, dicha cuenta de prueba, tenía acceso a una aplicación OAuth con permisos elevados al entorno de Microsoft, permitiendo que los actores accedan a correos corporativos del equipo de liderazgo, empleados del departamento legal y de ciberseguridad de la organización.
Midnight Blizzard vuelve a hackear Microsoft
Microsoft confirmó que Midnight Blizzard está utilizando información hallada en los datos robados para obtener acceso a los sistemas y repositorios de código fuente de la compañía. Si bien, no han explicado con precisión qué incluye esta información, es probable que sean tokens de autenticación, claves API o credenciales de acceso. Por otro lado, la organización contactó a clientes cuyos datos fueron expuestos a los actores de amenazas en correos electrónicos robados entre ellos y Microsoft.
Una pulverización de contraseñas es un tipo de ataque de fuerza bruta en el que los actores recopilan una lista de posibles nombres de inicio de sesión y luego intentan entrar a todos ellos, utilizando una larga lista de posibles contraseñas. Si una contraseña falla, repiten este proceso con otras contraseñas hasta que se agotan o violan con éxito la cuenta, por este motivo, las empresas deben configurar MFA en todas las cuentas para evitar el acceso, incluso si las credenciales se adivinan correctamente.
¿Quién es Midnight Blizzard?
También conocido como Nobelium, APT29 y Cozy Bear), Midnight Blizzard es un grupo de ciberdelincuentes patrocinado por el estado y vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).
El grupo ganó popularidad luego de realizar un ataque a la cadena de suministro de SolarWinds en 2020, lo que permitió a los actores vulnerar a numerosas empresas, incluida Microsoft, la cual confirmó que dicho ataque permitió a Midnight Blizzard robar el código fuente de un número limitado de componentes de Azure, Intune y Exchange. Luego, en junio de 2021, el grupo volvió a vulnerar una cuenta corporativa de Microsoft, lo que le permitió acceder a herramientas de atención al cliente.
Desde entonces, el grupo en cuestión ha estado vinculado con un gran número de ataques de ciberespionaje contra países de la OTAN y la UE, dirigidos a embajadas y agencias gubernamentales, haciéndose conocido también por desarrollar malware personalizado para utilizarlo en sus ataques.
Fuente
Ciberprisma - alianza por la ciberseguridad 