Nell’ambito di una campagna malevola di spionaggio, il team di sicurezza di Microsoft ha recentemente scoperto un insidioso attacco informatico condotto da Midnight Blizzard, noto attore sponsorizzato dallo stato russo, comunemente associato ai servizi segreti stranieri russi. L’azienda ha rivelato di essere stata vittima di questo attacco il 12 gennaio 2024, definendolo nientemeno che un “attacco di stato”.
Indice degli argomenti
Un attacco mirato a reperire informazioni interne dai vertici Microsoft
L’incursione, che ha avuto inizio alla fine di novembre 2023, è stata orchestrata attraverso un attacco spray password mirato a un account tenant di prova legacy non di produzione all’interno dei sistemi aziendali di Microsoft. Sebbene la porzione degli account di posta elettronica aziendali compromessa sia stata relativamente piccola, ha colpito dirigenti senior e dipartimenti chiave, tra cui sicurezza informatica e l’ufficio legale.
Il password spraying è una tecnica di attacco informatico classificata come “forza bruta”, in cui un attaccante utilizza un’unica password per provare ad accedere a più account utente. Questo metodo viene utilizzato per evitare l’attivazione di blocchi automatici che possono derivare da ripetuti tentativi di accesso ed è più efficace su sistemi con sicurezza debole che consentono password predefinite o credenziali di accesso condivise per più utenti.
Gli aggressori sembravano concentrarsi sulla raccolta di informazioni su Midnight Blizzard stessa, cercando nelle caselle di posta di dirigenti aziendali, dipendenti del dipartimento di sicurezza informatica, legale e altri uffici. Microsoft ha dichiarato che l’obiettivo principale sembrava essere l’auto-indagine degli attaccanti, che hanno avuto accesso a e-mail e allegati. La società ha attribuito nuovamente l’attacco a Midnight Blizzard, sottolineando il legame con i servizi segreti russi.
La scoperta dell’attacco ha portato Microsoft a definirlo un “attacco di stato”, con e-mail e allegati sottratti agli account compromessi. La metodologia utilizzata dagli attaccanti, come abbiamo visto, è stata la forza bruta nella selezione delle credenziali, ottenendo l’accesso tramite un vecchio account di prova ancora attivo.
Nonostante l’accesso limitato, Microsoft ha rassicurato i propri utenti sottolineando che non vi è stato alcun compromesso degli ambienti dei clienti, dei sistemi di produzione, del codice sorgente o dei sistemi di intelligenza artificiale. Questa garanzia è fondamentale per mantenere la fiducia e la sicurezza della vasta base utenti globale di Microsoft.
“Secondo il modulo 8-K presentato dal colosso tecnologico alla Securities and Exchange Commission (SEC) per segnalare l’incidente ed il suo impatto, l’attacco ha compromesso una piccola percentuale di account di posta elettronica dei dipendenti, inclusi membri del team di leadership senior, dipendenti delle funzioni di sicurezza informatica e legale. Le cyber spie russe hanno esfiltrato informazioni da questi account, comprese alcune email e documenti allegati. Un aspetto interessante della vicenda è l’attribuzione dell’attacco al gruppo di cyber-spionaggio russo Midnight Blizzard con ragionevole certezza”, aggiunge l’esperto cyber Pierluigi Paganini.
I motivi dell’attacco
Le spie pare fossero alla ricerca di documentazione condotta da Microsoft sulle attività del gruppo Midnight Blizzard. L’accesso a queste informazioni avrebbe fornito al Cremlino indicazioni sulle indagini condotte e le evidenze raccolte e condivise dall’azienda con agenzie occidentali ed altre aziende di sicurezza. Queste informazioni sono preziose per gruppi nation-state, in quanto possono consentire loro di cambiare tattiche, tecniche e procedure (TTP) per evitare di esser scoperti.
L’azienda, in una nota, ha sottolineato che gli aggressori non hanno sfruttato alcuna vulnerabilità nei suoi prodotti o servizi. Microsoft ha inoltre aggiunto che non vi è alcuna prova che le spie abbiano avuto accesso agli ambienti dei clienti, ai sistemi di produzione, al codice sorgente o ai sistemi di intelligenza artificiale dell’azienda.
“L’attacco non è stato il risultato di una vulnerabilità nei prodotti o servizi Microsoft. Ad oggi, non vi è alcuna prova che l’autore della minaccia abbia avuto accesso agli ambienti dei clienti, ai sistemi di produzione, al codice sorgente o ai sistemi di intelligenza artificiale. Informeremo i clienti se sarà necessaria qualche azione.” ha scritto Microsoft. “Questo attacco evidenzia il continuo rischio posto a tutte le organizzazioni da attori di minacce di tipo nazionale dotati di risorse adeguate come Midnight Blizzard.
“La Società non ha ancora stabilito se è ragionevolmente probabile che l’incidente abbia un impatto significativo sulla condizione finanziaria della Società o sui risultati delle operazioni”, si legge nel documento.
Il secure future initiative e la lezione da trarre dall’attacco Microsoft
Come risposta all’attacco, Microsoft ha annunciato il lancio del programma “Secure Future Initiative”, con l’obiettivo di rafforzare ulteriormente la sicurezza informatica aziendale. La società ha dichiarato di agire immediatamente per applicare gli attuali standard di sicurezza anche ai sistemi legacy, nonostante le possibili interruzioni ai processi aziendali esistenti.
Questo attacco informatico rappresenta un severo monito alle sofisticate minacce provenienti dagli attori statali nel mondo digitale odierno. La risposta di Microsoft non riguarda solo la salvaguardia dei propri sistemi, ma è un chiaro appello a tutte le organizzazioni affinché riconsiderino il proprio approccio alla sicurezza informatica. La necessità di essere proattivi nella difesa contro tali minacce è divenuta imperativa, sottolineando l’importanza di investire in tecnologie avanzate e strategie di sicurezza informatica robuste per proteggere dati e informazioni sensibili.
Aggiunge Paganini: “La lezione appresa dall’attacco rivelato da Microsoft è che gli account compromessi non erano adeguatamente protetti. Le tecniche efficaci per mitigare gli attacchi di forza bruta includono l’utilizzo dell’autenticazione a più fattori (MFA), l’utilizzo di password complesse, l’utilizzo di CAPTCHA, la limitazione del numero di tentativi di accesso e degli IP dai quali vengono provati, l’implementazione del blocco degli account e il monitoraggio dei log”.
Chi sono i Midnight Blizzard
Spiega Paganini: “Il gruppo Midnight Blizzard, noto anche come APT29, SVR group, Cozy Bear, Nobelium, BlueBravo e The Dukes, è stato precedentemente coinvolto nell’hackeraggio del Comitato Nazionale Democratico statunitense e in una serie di attacchi mirati alle elezioni presidenziali degli Stati Uniti nel 2016. Il gruppo è stato anche responsabile del clamoroso attacco alla catena di approvvigionamento dell’azienda SolarWinds del 2020, che ha colpito oltre 18.000 organizzazioni clienti, inclusa Microsoft”.
“Il gruppo Midnight Blizzard è riconosciuto come uno degli attori più sofisticati nel panorama delle minacce. Negli scorsi mesi il gruppo ha condotto numerose campagne di spionaggio contro diverse nazioni europee, tra cui Grecia, Romania e Italia, con l’obiettivo principale di infiltrarsi nelle ambasciate per attività di intelligence”.
“Nella seconda parte del 2023 il gruppo russo ha dimostrato di riuscire a variare continuamente le strategie offensive prendendo di mira falle in popolari software come WinRAR e server JetBrains TeamCity”.
