Microsoft ha fornito dettagli relativi al cyberattacco scoperto il 12 gennaio 2024 e di cui sono stati vittima i suoi sistemi aziendali. Da una prima indagine, l’attaccante è riuscito a prelevare alcune e-mail e allegati da alcuni account di posta elettronica del team dirigenziale senior e dei dipendenti dell’azienda di Redmond.
Microsoft ha comunicato che il suo team di sicurezza ha rilevato un attacco ai suoi sistemi aziendali il 12 gennaio 2024. L’azienda di Redmond ha spiegato di avere immediatamente attivato il suo piano di risposta per situazioni come questa al fine di indagare sull’accaduto, così come di lavorare per fermare l’attacco e di negare all’autore della minaccia ulteriore accesso ai propri sistemi.
Come spiegato da Microsoft nel suo blog, l’azienda ha identificato l’autore della minaccia come ‘Midnight Blizzard‘, una minaccia sponsorizzata dallo stato russo conosciuta anche con il nome di ‘Nobelium’. Microsoft ha precisato che l’attacco non è il risultato di una vulnerabilità nei suoi prodotti o servizi e che non vi sono prove del fatto che l’autore della minaccia abbia avuto accesso a sistemi di produzione, a codici sorgenti o a sistemi di intelligenza artificiale.
Microsoft vittima di cyberattacco, violati account di posta elettronica di dipendenti e dirigenti aziendali
Da quanto appreso, l’autore della minaccia ha utilizzato, a partire dalla fine di novembre 2023, un attacco di tipo password spray – che prevede il tentativo di utilizzare più password fino per compromettere un account specifico – al fine di compromettere un account tenant di test non di produzione e prenderne il controllo.
L’attaccante ha, quindi, utilizzato le autorizzazioni dell’account di cui è entrato in possesso per accedere “ad una percentuale molto piccola di account di posta elettronica aziendali Microsoft“, come spiegato dall’azienda.
Tra gli account di posta elettronica violati ci sono quelli di alcuni membri del team dirigenziale senior e di dipendenti dei team di sicurezza informatica e legale (ma non solo) dell’azienda. L’attaccante ha prelevato non solo e-mail ma anche documenti allegati.
Dai primi risultati dell’indagine condotta da Microsoft è emerso che l’attaccante fosse interessato a prelevare informazioni relative alla stessa Midnight Blizzard.
L’indagine proseguirà
La decisione di rendere pubblica la notizia di questo cyberattacco è arrivata come part dell’impegno che Microsoft si è presa nell’ottica della “trasparenza responsabile” come parte della sua iniziativa Secure Future Initiative (SFI) annunciata nel novembre scorso con lo scopo di potenziare la cybersecurity adottando difese informatiche basate sull’Intelligenza Artificiale e i più recenti progressi di software engineering. L’azienda, inoltre, si è impegnata ad incrementare la rapidità di risposta alle vulnerabilità e degli aggiornamenti di sicurezza.
Nella sua nota, Microsoft ha dichiarato:
“Come abbiamo affermato alla fine dell’anno scorso quando abbiamo annunciato la Secure Future Initiative (SFI), data la realtà degli autori di minacce che ricevono risorse e finanziamenti dagli stati nazionali, stiamo spostando l’equilibrio che dobbiamo trovare tra sicurezza e rischio aziendale”.
Microsoft proseguirà la sua indagine attorno a questo cyberattacco, anche con la collaborazione delle forze dell’ordine e delle autorità di regolamentazione appropriate. L’azienda ha già informato i dipendenti a cui risulta sia stato effettuato l’accesso alle e-mail. Microsoft non ha escluso di informare anche i clienti, se sarà necessaria qualche azione da parte loro.
