Microsoft-acties na aanval door Nation State Actor Midnight Blizzard
Het beveiligingsteam van Microsoft ontdekte op 12 januari 2024 een aanval van de natiestaat op zijn bedrijfssystemen en activeerde onmiddellijk zijn reactieproces om kwaadaardige activiteiten te onderzoeken, te verstoren, de aanval te beperken en de dreigingsactor verdere toegang te ontzeggen.
Microsoft heeft de bedreigingsacteur geïdentificeerd als Midnight Blizzard, de Russische door de staat gesponsorde acteur die ook bekend staat als Nobelium.
Microsoft meldt: ‘Als onderdeel van onze voortdurende inzet voor verantwoorde transparantie, zoals onlangs bevestigd in ons Secure Future Initiative (SFI), delen we deze update.
Vanaf eind november 2023 gebruikte de dreigingsacteur een wachtwoordspray-aanval om een legacy niet-productietesttenantaccount in gevaar te brengen en voet aan de grond te krijgen, en gebruikte vervolgens de machtigingen van het account om toegang te krijgen tot een zeer klein percentage van Microsoft zakelijke e-mailaccounts, inclusief leden van ons senior leiderschapsteam en werknemers in onze cyberbeveiligings-, juridische en andere functies, en exfiltreerde enkele e-mails en bijgevoegde documenten. Het onderzoek geeft aan dat ze zich aanvankelijk richtten op e-mailaccounts voor informatie met betrekking tot Midnight Blizzard zelf. We zijn bezig met het op de hoogte stellen van werknemers van wie de e-mail is geopend.
De aanval was niet het gevolg van een kwetsbaarheid in Microsoft-producten of -services. Tot op heden is er geen bewijs dat de dreigingsactor toegang had tot klantomgevingen, productiesystemen, broncode of AI-systemen. We zullen klanten op de hoogte stellen als er actie nodig is.
Deze aanval benadrukt het aanhoudende risico voor alle organisaties van goed bemiddelde dreigingsactoren van de natiestaat, zoals Midnight Blizzard.
Zoals we eind vorig jaar zeiden toen we het Secure Future Initiative (SFI) aankondigden, verschuiven we, gezien de realiteit van bedreigingsactoren die worden gefinancierd door natiestaten, het evenwicht dat we nodig hebben tussen beveiliging en bedrijfsrisico - het traditionele soort calculus is gewoon niet langer voldoende. Voor Microsoft heeft dit incident de dringende noodzaak benadrukt om nog sneller te gaan. We zullen onmiddellijk handelen om onze huidige beveiligingsnormen toe te passen op legacy-systemen en interne bedrijfsprocessen van Microsoft, zelfs wanneer deze wijzigingen verstoring van bestaande bedrijfsprocessen kunnen veroorzaken.
Dit zal waarschijnlijk een bepaalde mate van verstoring veroorzaken terwijl we ons aanpassen aan deze nieuwe realiteit, maar dit is een noodzakelijke stap, en alleen de eerste van enkele die we zullen nemen om deze filosofie te omarmen.
We zetten ons onderzoek voort en zullen aanvullende acties ondernemen op basis van de resultaten van dit onderzoek en zullen blijven samenwerken met wetshandhaving en de juiste regelgevers. We zijn zeer toegewijd aan het delen van meer informatie en onze lessen, zodat de gemeenschap kan profiteren van zowel onze ervaring als observaties over de bedreigingsactor. We zullen indien van toepassing aanvullende details verstrekken.’
