Forráskódokhoz is hozzáfértek a Microsofthoz betörő orosz hackerek
Folyamatos támadás alatt áll a redmondi szoftvercég a frissített bejelentés alapján, ráadásul a januárban nyilvánosságra hozott támadás a véltnél kiterjedtebb.
Az év elején vált nyilvánossá, hogy tavaly novembertől kezdve egy Kremlhez köthető hackercsoportnak sikerült hozzáférnie a Microsoft egyes vezetőinek levelezéseihez, és mivel a cég egészen január 12-ig nem észlelte a jogsértést, így az orosz hackerek két hónapig zavartalanul hozzáférhettek a kompromittált fiókokhoz.
Az amerikai Értékpapír- és Tőzsdefelügyelethez benyújtott frissített bejelentésben a redmondi cég további részleteket közölt a biztonsági incidenssel kapcsolatban. A Microsoft most megerősítette, hogy az orosz kiberkémek forráskódokat is loptak, valamint hozzáférhettek a belső rendszerekhez. Időben is kiterjedtebb a támadássorozat, mivel a behatolási próbálkozások folyamatosak, tehát még mindig aktív a művelet.
A Cozy Bear (továbbá APT29, Nobelium, vagy Midnight Blizzard) néven ismert, többek közt a SolarWinds támadásokért is felelős kiberbűnözői csoport által indított legutóbbi támadás a redmondiak szerint a vállalati e-mail-fiókok csak „nagyon kis százalékát” érintette, de az orosz feleknek sikerült belső üzeneteket és fájlokat lopniuk a vezetőktől, valamint a kiberbiztonsági és jogi részlegeken dolgozó alkalmazottak egy részétől is.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A Microsoft januárban úgy fogalmazott, hogy a hackerek tudomása szerint nem fértek hozzá az ügyfélkörnyezetekhez, termelési rendszerekhez, forráskódokhoz vagy MI-rendszerekhez, ami utólag értékelve már nem igaz. Az újabb vizsgálatok során kiderült, hogy a kiberbűnözők a vállalati e-mail rendszeren keresztül szerzett érzékeny információkat használták fel arra, hogy további jogosulatlan hozzáférést szerezhessenek a rendszer további részeibe, többek közt a vállalat néhány forráskód repository-jához és belsős rendszeréhez. A Microsoft fenntartja, hogy egyelőre "nincs bizonyíték" arra vonatkozóan, hogy az orosz bűnözők kompromittálták az ügyfeleknek szánt rendszereket.
A hackercsoportnak jelszószórással (password spray) sikerült feltörnie egy régi tesztelői fiókot, majd annak jogosultságait kihasználva fért hozzá vállalati e-mail-fiókok „kis százalékához”, érintve a felsővezetői csapatot és a kiberbiztonsági, jogi és egyéb feladatokat ellátó alkalmazottakat. Ez egyben arra utal, hogy a gyenge jelszón felül a fiókot kétfaktoros hitelesítés (2FA) sem védte. Továbbá az „örökölt, nem gyártási tesztbérlői fiókot” valahogy úgy konfigurálták, hogy a kezelője a legérzékenyebb alkalmazotti fiókokhoz férjenek hozzá, tehát meglepően sok jogosultsággal rendelkezett. Egy másik felmerülő kérdés, hogy a fiókot a tesztelési feladatok végén miért nem törölték.
Adam Meyers, a CrowdStrike műveleti főnöke szerint az eset arra mutat rá, hogy a Microsoft nemzetbiztonsági fenyegetésnek tekinthető, az Azure szolgáltatásnak pedig szélesebb körű hitelesítési problémái vannak. Korábban Oroszország mellett Kína állami hackerei is célba vették a szoftveróriást, és a közelgő választások fényében még kockázatosabb, ha ellenséges nemzetállamok férnek hozzá a Microsoft érzékeny adataihoz.