Microsoft ha confirmado hace unos días que un actor de amenazas respaldado por el Kremlin y conocido como Midnight Blizzard, Cozy Bear o APT29 ha conseguido tener acceso a algunos de sus repositorios de código fuente y sistemas internos tras un ataque que se hizo público el pasado mes de enero.
La empresa de Satya Nadella también asegura que sigue investigando el alcance de la violación y que tiene la certeza de que este actor de amenazas patrocinado por el estado ruso está intentando aprovechar los distintos tipos de secretos que encontró, incluyendo aquellos compartidos entre los clientes y Microsoft por email.
"En las últimas semanas, hemos visto evidencias de que Midnight Blizzard está utilizando información inicialmente extraída de nuestros sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado", ha señalado el gigante tecnológico.
"Esto ha incluido la incursión en algunos de los repositorios de código fuente y sistemas internos de la compañía. Sin embargo, hasta la fecha no hemos encontrado evidencia de que los sistemas de cara al cliente alojados en Microsoft hayan sido comprometidos", ha tranquilizado la firma de Redmond.
Cómo atacaron
Se cree que en realidad la infracción de Microsoft sucedió en noviembre del año pasado y Midnight Blizzard empleó un ataque de pulverización de contraseñas (o password spray attack) para infitrarse con éxito en una cuenta de invitado de prueba heredada que no era de producción y que no tenía habilitada la autenticación multifactor (MFA).
Según recoge Kaspersky, la pulverización de contraseñas es un tipo de ataque de fuerza bruta en el que un actor malicioso intenta utilizar la misma clave en varias cuentas, antes de probar con otra. Estos ataques suelen ser eficaces porque muchos usuarios utilizan passwords sencillos y fáciles de adivinar, como "contraseña" o "123456", entre otros.
El grupo de ciberdelincuentes realizó un ataque "sostenido y significativo de los recursos" y estuvo caracterizado también por la coordinación y el enfoque.
"Puede estar utilizando la información que ha obtenido para acumular una imagen de las áreas que atacar y mejorar su capacidad para hacerlo. Esto refleja lo que se ha convertido en un panorama de amenazas globales sin precedentes, especialmente en términos de ataques sofisticados a estados-nación", aclara Microsoft.
Según recuerda The Hacker News, Midnight Blizzard se considera parte del Servicio de Inteligencia Exterior de Rusia (SVR). Activo desde al menos 2008, el actor de amenazas es uno de los grupos de piratería más prolíficos y sofisticados, comprometiendo objetivos de alto perfil como SolarWinds.