Microsoft ha fornito un nuovo aggiornamento sull’attacco contro i sistemi aziendali rilevato il 12 gennaio 2024 e reso pubblico il successivo 19 gennaio. Durante l’indagine, ancora in corso, l’azienda di Redmond ha scoperto che i cybercriminali russi sono riusciti ad accedere ad alcuni repository di codice sorgente.
Gli attacchi continuano
Microsoft aveva comunicato che gli attacchi, effettuati dal gruppo russo Midnight Blizzard (noto anche come Nobelium o Cozy Bear), erano iniziati a fine novembre 2023. Utilizzando la tecnica password spray, i cybercriminali avevano scoperto le credenziali di un account di test non protetto dall’autenticazione multi-fattore.
L’account aveva accesso ad un’applicazione OAuth che ha permesso l’intrusione all’ambiente Exchange Online e quindi il furto delle email aziendali. Microsoft ha svelato oggi che i cybercriminali hanno trovato alcuni “segreti” nelle email scambiate tra dipendenti e clienti. Non viene specificato il tipo di informazioni, ma quasi certamente si tratta di password, API key e token di autenticazione.
Questi segreti sono stati usati per accedere ad altri sistemi interni e al codice sorgente. Al momento non risultano compromessi i sistemi dei clienti ospitati da Microsoft. L’azienda di Redmond ha comunque informato i clienti interessati al furto delle email.
Microsoft ha inoltre rilevato un notevole incremento degli attacchi password spray durante il mese di febbraio (fino a 10 volte quelli di gennaio). L’indagine è ancora in corso. Ulteriori dettagli verranno divulgati nelle prossime settimane.