У п'ятницю компанія Microsoft заявила, що хакери, пов'язані з російською зовнішньою розвідкою, знову намагалися проникнути в її системи, використовуючи дані, вкрадені з корпоративної електронної пошти в січні.
Аналітики висловили побоювання з приводу безпеки систем і сервісів Microsoft, одного з найбільших у світі виробників програмного забезпечення, що надає цифрові послуги та інфраструктуру уряду США.
У Microsoft заявили, що за проникненням стоїть російське державне угруповання під назвою Midnight Blizzard, або Nobelium.
Microsoft повідомила про злом у січні, заявивши, що хакери намагалися зламати корпоративні електронні поштові скриньки, зокрема облікові записи топ-менеджерів компанії, а також кібербезпеки, юридичних та інших служб.
"Останніми тижнями ми побачили свідчення того, що Midnight Blizzard використовує інформацію, напочатку отриману з наших корпоративних систем електронної пошти, для отримання або спроби отримання несанкціонованого доступу", — йдеться в заяві компанії.
З огляду на велику клієнтську мережу Microsoft, не дивно, що вона стала об'єктом атаки, вважає Джером Сегура, головний дослідник загроз у лабораторії Threatdown Labs компанії Malwarebytes, що спеціалізується на кібербезпеці. Він додав, що його насторожує той факт, що атака все ще триває, незважаючи на зусилля Microsoft щодо запобігання доступу.
"Те, що один із найбільших постачальників програмного забезпечення сам вчиться всьому на ходу, трохи лякає", — сказав Сегура.
За словами представників Microsoft, серед викрадених хакерами даних був доступ до репозиторіїв вихідного коду і внутрішніх систем. Компанія володіє GitHub, публічним сховищем програмного коду для різних додатків, каже Сегура з Malwarebytes.
"Зловмисник захоче використовувати секрети (Microsoft), щоб проникнути у виробничі середовища, а потім скомпрометувати програмне забезпечення, встановити бекдори і тому подібні речі", — сказав він.
Раніше Microsoft заявила, що хакери зламали електронну пошту співробітників, використовуючи неактивний обліковий запис, за допомогою атаки "розпорошення пароля" — використання одного й того самого пароля на кількох облікових записах, поки вони не зламають один із них. Такі атаки збільшилися вдесятеро порівняно із січневим зламом, ідеться в блозі Microsoft.
"Схоже, що це щось дуже цілеспрямоване, і якщо хакери так глибоко проникли в Microsoft, а Microsoft не змогла витягнути їх звідти за два місяці, то це викликає серйозні побоювання", — сказав Адам Меєрс, старший віцепрезидент компанії Crowdstrike, що займається кібербезпекою та відслідковує зломи, які здійснюють державні структури.
За словами різних аналітиків, відомо, що Midnight Blizzard атакує уряди, дипломатичні установи та неурядові організації.
Група розвідки загроз Microsoft проводить розслідування і ділиться інформацією про Nobelium принаймні з 2021 року, коли було встановлено, що ця група стоїть за кібератакою SolarWinds, яка зламала низку урядових установ США.
Постійні спроби зламати Microsoft свідчать про "постійне і значне використання ресурсів, координацію та концентрацію зусиль загрозливого суб'єкта", заявила компанія в п'ятницю.
Microsoft не назвала імен постраждалих клієнтів.