Microsoft gab am Freitag bekannt, dass der vom Kreml unterstützte Bedrohungsakteur bekannt gegeben hat Mitternachtssturm (auch bekannt als APT29 oder Cozy Bear) gelang es, nach einem Hackerangriff, der im Januar 2024 ans Licht kam, Zugriff auf einige seiner Quellcode-Repositories und internen Systeme zu erhalten.
„In den letzten Wochen haben wir Beweise dafür gesehen, dass Midnight Blizzard ursprünglich aus unseren Unternehmens-E-Mail-Systemen herausgefilterte Informationen nutzt, um sich unbefugten Zugriff zu verschaffen oder dies zu versuchen“, sagte der Technologieriese.
„Dazu gehörte auch der Zugriff auf einige Quellcode-Repositories und interne Systeme des Unternehmens. Bisher haben wir keine Hinweise darauf gefunden, dass von Microsoft gehostete kundenorientierte Systeme kompromittiert wurden.“
Redmond, das weiterhin das Ausmaß des Verstoßes untersucht, sagte, der staatlich geförderte russische Bedrohungsakteur versuche, die verschiedenen Arten von Geheimnissen auszunutzen, die er gefunden habe, darunter auch solche, die Kunden und Microsoft per E-Mail weitergegeben hätten.
Um welche Geheimnisse es sich dabei handelte und wie groß die Kompromittierung war, gab das Unternehmen jedoch nicht bekannt, obwohl es mitteilte, dass man sich direkt an die betroffenen Kunden gewandt habe. Es ist nicht klar, auf welchen Quellcode zugegriffen wurde.
Microsoft gab an, seine Sicherheitsinvestitionen erhöht zu haben, und stellte außerdem fest, dass der Angreifer seine Passwort-Spray-Angriffe im Februar um das Zehnfache gesteigert habe, verglichen mit dem „bereits großen Volumen“, das im Januar beobachtet wurde.
„Der anhaltende Angriff von Midnight Blizzard zeichnet sich durch einen nachhaltigen, erheblichen Einsatz der Ressourcen, Koordination und Konzentration des Bedrohungsakteurs aus“, hieß es.
„Möglicherweise nutzt es die erhaltenen Informationen, um sich ein Bild von Angriffsgebieten zu machen und seine Fähigkeit dazu zu verbessern. Dies spiegelt eine insgesamt beispiellose globale Bedrohungslandschaft wider, insbesondere im Hinblick auf raffinierte nationalstaatliche Angriffe.“
Der Microsoft-Verstoß soll im November 2023 stattgefunden haben, als Midnight Blizzard einen Passwort-Spray-Angriff einsetzte, um erfolgreich in ein altes, nicht produktives Testmandantenkonto einzudringen, für das keine Multi-Faktor-Authentifizierung (MFA) aktiviert war.
Der Technologieriese gab Ende Januar bekannt, dass APT29 andere Organisationen ins Visier genommen hatte, indem es verschiedene Erstzugriffsmethoden ausnutzte, die von gestohlenen Zugangsdaten bis hin zu Angriffen auf die Lieferkette reichten.
Midnight Blizzard gilt als Teil des russischen Auslandsgeheimdienstes (SVR). Der Bedrohungsakteur ist seit mindestens 2008 aktiv und eine der produktivsten und raffiniertesten Hackergruppen, die hochkarätige Ziele wie SolarWinds kompromittiert.