Государственные российские хакеры воспользовались слабым паролем, чтобы попасть в корпоративную сеть Microsoft и получить доступ к электронным письмам и документам руководителей высшего звена, сотрудников отдела безопасности и юристов. Об этом сообщила Microsoft в заявлении, поданном в Комиссию по ценным бумагам и биржам.
Начиная с конца ноября 2023 года, злоумышленник использовал атаку распыления пароля, чтобы скомпрометировать устаревшую нерабочую тестовую учетную запись клиента и закрепиться, а затем использовал разрешения учетной записи для доступа к очень небольшому проценту корпоративных учетных записей электронной почты Microsoft, включая сотрудников кибербезопасности, юридических и других функций, а также похитили некоторые электронные письма и вложенные документы. Расследование указывает, что первоначально целевыми учетными записями электронной почты была информация, связанная с Midnight Blizzard. Microsoft уведомила сотрудников, к электронной почте которых у злоумышленников был доступ.
Компания обнаружила нарушение 12 января, ровно за неделю до раскрытия информации. Вероятно, российские хакеры имели непрерывный доступ к аккаунтам в течение двух месяцев.
Случай обнаружил множество нюансов. Во-первых, этот тип атаки возможен при отсутствии двухфакторной аутентификации и слабом пароле. Во-вторых, доступ к учетным записям электронной почты, принадлежащим командам «высшего руководства, кибербезопасности и юристам» был осуществлен только с помощью разрешений «тестовой учетной записи» – кто-то предоставил этой тестовой учетной записи невероятные привилегии. Почему она не была удалена, если не использовалась? Третье – Microsoft потребовалось около семи недель, чтобы обнаружить атаку.
Microsoft заявила, что ей не известно ни о каких свидетельствах доступа к клиентским средам, производственным системам, исходному коду или системам искусственного интеллекта. Компания отказывается отвечать на вопросы, в том числе о соблюдении основных методов безопасности.
Источник: Ars Technica