Microsoft ha comunicato di aver rilevato un attacco contro i sistemi aziendali il 12 gennaio e il furto di alcune email con allegati. Dopo aver bloccato l’accesso e avviato un’indagine sono stati individuati gli autori, ovvero il gruppo Midnight Blizzard (noto anche come Nobelium). Si tratta degli stessi cybercriminali, finanziati dal governo russo, che hanno effettuato l’attacco SolarWinds nel 2020.
Intrusione durata oltre un mese
In seguito all’indagine, Microsoft ha scoperto che l’attacco è iniziato a fine novembre 2023. I cybercriminali hanno sfruttato la tecnica nota come password spray per tentare di accedere agli account di uno stesso dominio. Dopo aver effettuato il login ad un account di test, la gang ha utilizzato i permessi dell’account per accedere alle email e ai documenti allegati di alcuni dirigenti e dipendenti.
Le email sono state successivamente esfiltrate, ovvero inviate ad un server controllato dai cybercriminali. Microsoft sottolinea che l’attacco non è dovuto ad una vulnerabilità di prodotti e servizi. I sistemi di produzione, codice sorgente e sistemi IA non sono stati compromessi. Dalla descrizione fornita sembra che siano stati commessi almeno due gravi errori.
Se i cybercriminali hanno trovato le credenziali di login con un attacco password spray (simile ad un attacco di forza bruta) significa che gli account non erano protetti dall’autenticazione multi-fattore. Inoltre non è chiaro perché un account di test avesse i permessi di accesso agli account email aziendali.
Le indagini continueranno nei prossimi giorni, quindi potrebbero essere pubblicati altri dettagli sull’intrusione. Se nemmeno un’azienda con elevate risorse economiche e tecniche riesce a bloccare questi attacchi, allora la situazione è piuttosto preoccupante.