В пятницу компания Microsoft заявила, что хакеры, связанные с российской внешней разведкой, снова пытались проникнуть в ее системы, используя данные, украденные из корпоративной электронной почты в январе.
Аналитики высказали опасения по поводу безопасности систем и сервисов Microsoft, одного из крупнейших в мире производителей программного обеспечения, предоставляющего цифровые услуги и инфраструктуру правительству США.
В Microsoft заявили, что за проникновением стоит российская государственная группировка под названием Midnight Blizzard, или Nobelium.
Microsoft сообщила о взломе в январе, заявив, что хакеры пытались взломать корпоративные электронные почтовые ящики, в том числе учетные записи топ-менеджеров компании, а также кибербезопасности, юридических и других служб.
"В последние недели мы увидели свидетельства того, что Midnight Blizzard использует информацию, первоначально полученную из наших корпоративных систем электронной почты, для получения или попытки получения несанкционированного доступа", — говорится в заявлении компании.
Учитывая обширную клиентскую сеть Microsoft, неудивительно, что она стала объектом атаки, считает Джером Сегура, главный исследователь угроз в лаборатории Threatdown Labs компании Malwarebytes, специализирующейся на кибербезопасности. Он добавил, что его настораживает тот факт, что атака все еще продолжается, несмотря на усилия Microsoft по предотвращению доступа.
"То, что один из крупнейших поставщиков программного обеспечения сам учится всему на ходу, немного пугает", — сказал Сегура.
По словам представителей Microsoft, среди похищенных хакерами данных был доступ к репозиториям исходного кода и внутренним системам. Компания владеет GitHub, публичным хранилищем программного кода для различных приложений, говорит Сегура из Malwarebytes.
"Злоумышленник захочет использовать секреты (Microsoft), чтобы проникнуть в производственные среды, а затем скомпрометировать программное обеспечение, установить бэкдоры и тому подобные вещи", — сказал он.
Ранее Microsoft заявила, что хакеры взломали электронную почту сотрудников, используя неактивную учетную запись с помощью атаки "распыление пароля" — использование одного и того же пароля на нескольких учетных записях, пока они не взломают одну из них. Такие атаки увеличились в десять раз по сравнению с январским взломом, говорится в блоге Microsoft.
"Похоже, что это что-то очень целенаправленное, и если хакеры так глубоко проникли в Microsoft, а Microsoft не смогла вытащить их оттуда за два месяца, то это вызывает серьезные опасения", — сказал Адам Мейерс, старший вице-президент компании Crowdstrike, занимающейся кибербезопасностью и отслеживающей взломы, совершаемые государственными структурами.
По словам различных аналитиков, известно, что Midnight Blizzard атакует правительства, дипломатические учреждения и неправительственные организации.
Группа разведки угроз Microsoft проводит расследования и делится информацией о Nobelium по крайней мере с 2021 года, когда было установлено, что эта группа стоит за кибератакой SolarWinds, которая взломала ряд правительственных учреждений США.
Постоянные попытки взломать Microsoft свидетельствуют о "постоянном и значительном использовании ресурсов, координации и концентрации усилий угрожающего субъекта", заявила компания в пятницу.
Microsoft не назвала имена пострадавших клиентов.