Microsoft y Hewlett-Packard Enterprise (HPE) revelaron que sufrieron una intrusión a cuentas de su correo electrónico corporativo a manos de los ciberdelincuentes rusos “Midnight Blizzard” y la extracción de información.
A finales de la semana pasada, Microsoft informó en una publicación de blog que el pasado 12 de enero su equipo de seguridad detectó un ataque patrocinado por un Estado, identificado como el grupo de hackers rusos, que comenzó en noviembre de 2023.
De acuerdo con su investigación, los ciberdelincuentes accedieron a un porcentaje pequeño de cuentas, incluidas las de miembros de su equipo sénior de liderazgo, así como de empleados en funciones legales y ciberseguridad entre otras.
La compañía dijo que de inmediato activó su proceso de respuesta para investigar, interrumpir la actividad maliciosa, mitigar el ataque y negarle acceso adicional al actor de la amenaza.
“Hasta la fecha, no hay evidencia de que el actor de la amenaza tuviera acceso a los entornos de los clientes, los sistemas de producción, el código fuente o los sistemas de inteligencia artificial. Notificaremos a los clientes si se requiere alguna acción”, detalló.
Los cibercriminales, explicó, utilizaron un ataque de pulverización de contraseñas para comprometer una cuenta heredada de un inquilino de prueba que no era de producción y luego usó sus permisos.
La investigación indica que inicialmente apuntaban a cuentas de correo electrónico en busca de información relacionada con Midnight Blizzard. “Estamos en el proceso de notificar a los empleados cuyo correo electrónico fue accedido”, agregó.
¿Qué es Midnight Blizzard?
Midnight Blizzard, también conocido como “Nobelium, según Microsoft, está vinculado al Servicio de Inteligencia Exterior (SVR, por sus siglas transliteradas) del Kremlin, específicamente relacionado al grupo de hackers APT 29 o Cozy Bear, la pandilla que se entrometió en las elecciones presidenciales de Estados Unidos en 2016.
El grupo ha llevado a cabo un agresivo espionaje gubernamental y corporativo en todo el mundo durante años, y estuvo detrás del ataque a la cadena de suministro de SolarWinds en 2021.
Si bien las infracciones de HP y Microsoft salieron a la luz con unos días de diferencia, la situación ilustra principalmente la realidad actual de las actividades de espionaje internacional de Midnight Blizzard y hasta dónde llegará para encontrar debilidades en las defensas digitales de las organizaciones.
HPE fue atacada meses antes
Meses antes de que Midnight Blizzard accediera y extrajera datos de altos directivos de Microsoft en noviembre pasado, el grupo ya había hecho lo mismo en HPE.
La compañía reconoció en un formulario 8-K, presentado ante la Comisión de Bolsa y Valores de Estados Unidos (SEC, por sus siglas en inglés) el pasado 19 de enero, que su entorno de correo electrónico alojado en la nube fue víctima de una intrusión no autorizada en algún momento de mayo pasado.
Los atacantes exfiltraron datos de cuentas pertenecientes a lo que HPE afirmó que era un pequeño número de personas en los segmentos de ciberseguridad, mercadotecnia, negocios y otras áreas.
HPE informó que se enteró de la intrusión el pasado 12 de diciembre y desde entonces ha trabajado con expertos externos en ciberseguridad para determinar el alcance total y el cronograma exacto del ataque.
“La compañía ahora entiende que este incidente probablemente esté relacionado con una actividad anterior de este actor de amenazas, del cual fuimos notificados en junio de 2023, que involucra acceso no autorizado y exfiltración de un número limitado de archivos de SharePoint ya en mayo de 2023”, admitió.
