Microsoft казва, че подкрепяни от държавата руски хакери са имали достъп до имейли на членове на висш ръководен екип
БОСТЪН (AP) — Подкрепяни от държавата руски хакери са проникнали в системата за корпоративна електронна поща на Microsoft и са получили достъп и до акаунтите на членове на ръководния екип на компанията като тези на служители от нейните екипи по киберсигурност и правни екипи, каза компанията в петък.
В публикация в блог Microsoft каза, че проникването е започнало в края на ноември и е било открито на 12 януари. Той каза, че същият висококвалифициран Руският хакерски екип зад пробива в SolarWinds е отговорен.
„Много малък процент“ от корпоративните акаунти на Microsoft са били осъществени, каза компанията, и някои имейли и прикачени документи са били откраднати.
Говорител на компанията каза, че Microsoft няма незабавен коментар за това кои или на колко членове на нейното висше ръководство имейл акаунтите им са пробити. В регулаторна декларация в петък Microsoft заяви, че е успяла да премахне достъпа на хакерите от компрометираните акаунти на или около 13 януари.
„Ние сме в процес на уведомяване на служителите, чийто имейл е бил достъпен,“ Microsoft каза, добавяйки, че неговото разследване показва, че хакерите първоначално са били насочени към имейл акаунти за информация, свързана с техните дейности.
Разкриването на Microsoft идва месец след влизането в сила на ново правило на Комисията по ценни книжа и борси на САЩ, което принуждава публично търгуваните компании да разкриват нарушения, които биха могли да повлияят отрицателно на бизнеса им. Дава им четири дни да направят това, освен ако не получат освобождаване от отговорност за националната сигурност.
В регулаторната декларация на SEC от петък Microsoft каза, че „към датата на тази декларация инцидентът не е имал съществено въздействие ” върху своите операции. Той добави, че все пак не е „определил дали има разумна вероятност инцидентът да повлияе съществено“ на неговите финанси.
Microsoft, която е базирана в Редмънд, Вашингтон, каза, че хакерите от руското външно разузнаване SVR са успели да получат достъп чрез компрометиране на идентификационни данни на тестов имейл акаунт. След като се затвърдиха, те използваха разрешенията на акаунта за достъп до акаунтите на висшия ръководен екип и други. Техниката за груба атака, използвана от хакерите, се нарича „разпръскване на парола“.
Акторът на заплахата използва една обща парола, за да се опита да влезе в множество акаунти. В публикация в блог от август Microsoft описа как неговият екип за разузнаване на заплахи откри, че същият руски хакерски екип е използвал техниката, за да се опита да открадне идентификационни данни от най-малко 40 различни глобални организации чрез чатовете на Microsoft Teams.
„Атаката не е резултат от уязвимост в продуктите или услугите на Microsoft“, каза компанията в блога. „Към днешна дата няма доказателства, че заплахата е имала достъп до клиентски среди, производствени системи, изходен код или AI системи. Ще уведомим клиентите, ако се наложи някакво действие.“
Microsoft нарича хакерското звено Midnight Blizzard. Преди да обнови номенклатурата си на заплахи миналата година, тя нарече групата Nobelium. Фирмата за киберсигурност Mandiant, собственост на Google, нарича групата Cosy Bear.
В публикация в блог от 2021 г. Microsoft нарече хакерската кампания SolarWinds „най-сложната атака срещу национална държава в историята“. В допълнение към правителствените агенции на САЩ, включително отделите на правосъдието и финансите, бяха компрометирани повече от 100 частни компании и мозъчни тръстове, включително доставчици на софтуер и телекомуникации.
Основният фокус на SVR е събирането на разузнавателна информация. Той е насочен предимно към правителства, дипломати, мозъчни тръстове и доставчици на ИТ услуги в САЩ и Европа,