Державні російські хакери скористалися слабким паролем, щоб потрапити у корпоративну мережу Microsoft та отримати доступ до електронних листів і документів керівників вищої ланки, співробітників відділу безпеки та юристів. Про це повідомила Microsoft у заяві, поданій до Комісії з цінних паперів та бірж:
Починаючи з кінця листопада 2023 року, зловмисник використовував атаку розпилення пароля, щоб скомпрометувати застарілий неробочий тестовий обліковий запис клієнта та закріпитися, а потім використав дозволи облікового запису для доступу до дуже невеликого відсотка корпоративних облікових записів електронної пошти Microsoft, включаючи членів вищого керівництва та співробітників служби кібербезпеки, юридичних та інших функцій, а також викрали деякі електронні листи та вкладені документи. Розслідування вказує, що спочатку цільовими обліковими записами електронної пошти була інформація, пов’язана Midnight Blizzard. Microsoft сповістила співробітників, до електронної пошти яких у зловмисників був доступ.
Компанія виявила порушення 12 січня, рівно за тиждень до розкриття інформації. Ймовірно, російські хакери мали безперервний доступ до облікових записів протягом двох місяців.
Випадок виявив багато нюансів. По-перше, цей тип атаки можливий за відсутності двофакторної автентифікації та слабкому паролю. По-друге, доступ до облікових записів електронної пошти, які належать командам «вищого керівництва, кібербезпеки та юристів» був здійснений лише за допомогою дозволів «тестового облікового запису» – хтось надав цьому тестовому обліковому запису неймовірні привілеї. Чому він не був видалений, якщо не використовувався? Третє – Microsoft знадобилося близько семи тижнів, щоб виявити атаку.
Microsoft заявила, що їй не відомо про жодні випадки доступу до клієнтських середовищ, виробничих систем, вихідного коду чи систем штучного інтелекту. Компанія відмовляється відповідати на запитання, включно з тим, чи дотримувалась вона основних методів безпеки.
Джерело: Ars Technica