Microsoft: attacchi hacker ai nostri sistemi provenienti dalla Russia | Rubato codice sorgente

9 months ago 193

Microsoft avrebbe subito un attacco da parte di un gruppo di hacker russi che mirava alle agenzie governative statunitensi.

8 MARZO 2024 | Dopo aver reso noto di essere stata vittima dell’attacco Microsoft ha appena ammesso che durante la violazione da parte del gruppo di hacker russi sono stati rubati codice sorgente condiviso all’interno delle email aziendali tra dipendenti e clienti. Gli hacker stanno tentando di sfruttare questo materiale ma finora a detta di Microsoft senza compromettere la sicurezza dei clienti.

Nelle ultime settimane, abbiamo riscontrato prove che Midnight Blizzard utilizza informazioni inizialmente esfiltrate dai nostri sistemi di posta elettronica aziendali per ottenere, o tentare di ottenere, accesso non autorizzato. Ciò ha incluso l’accesso ad alcuni repository di codice sorgente e sistemi interni dell’azienda. Ad oggi non abbiamo trovato prove che i sistemi rivolti ai clienti ospitati da Microsoft siano stati compromessi. 

20 GENNAIO 2024 | Dopo le violazioni ad aziende ed enti governativi, Microsoft ha fatto sapere di essere stata presa di mira dal gruppo di hacker Nobelium di origine Russa, dietro il nome di Midnight Blizzard. Il gruppo di hacker ha utilizzato un attacco spray con password per violare degli account e-mail senza fruttare una vulnerabilità specifica. Microsoft assicura che non c’è alcuna prova del furto di informazioni o dati degli utenti – maggiori dettagli a questo indirizzo.

Il team di sicurezza Microsoft ha rilevato un attacco nazionale ai nostri sistemi aziendali il 12 gennaio 2024 e ha immediatamente attivato il nostro processo di risposta per indagare, interrompere attività dannose, mitigare l’attacco e negare ulteriore accesso all’autore della minaccia. Microsoft ha identificato l’autore della minaccia come Midnight Blizzard, l’attore sponsorizzato dallo stato russo noto anche come Nobelium.

3 AGOSTO 2023 | Il gruppo di hacker Nobelium è di origine Russa e probabilmente sponsorizzato dallo Stato. In questa occasione, Microsoft mette in guardia da un nuove ondate di phishing in grado di rubare credenziali sfruttando la chat di Microsoft Teams ai danni di utenti e organizzazioni – maggiori dettagli a questo indirizzo.

Microsoft Threat Intelligence ha identificato attacchi di ingegneria sociale altamente mirati utilizzando esche di phishing per il furto di credenziali inviate durante le chat di Microsoft Teams dall’autore della minaccia che Microsoft traccia come Midnight Blizzard (precedentemente monitorato come NOBELIUM). Quest’ultimo attacco, combinato con l’attività passata, dimostra ulteriormente la continua esecuzione dei propri obiettivi da parte di Midnight Blizzard utilizzando tecniche nuove e comuni. In quest’ultima attività, l’autore della minaccia utilizza tenant Microsoft 365 precedentemente compromessi di proprietà di piccole imprese per creare nuovi domini che appaiono come entità di supporto tecnico. Utilizzando questi domini da tenant compromessi, Midnight Blizzard sfrutta i messaggi di Teams per inviare esche che tentano di rubare le credenziali da un’organizzazione mirata coinvolgendo un utente e sollecitando l’approvazione delle richieste di autenticazione a più fattori (MFA).

26 AGOSTO 2022 | Torna a far parlare di sé il gruppo di hacker Nobelium di origine Russa e probabilmente sponsorizzato dallo Stato. In questa occasione Microsoft mette in guardia da un nuovo malware ribattezzato MagicWeb e in grado di bucare l’autenticazione in una rete compromessa ai danni di organizzazioni e governi sparsi nel mondo – maggiori dettagli a questo indirizzo.

I ricercatori di Microsoft sulla sicurezza hanno scoperto una funzionalità post-compromissione che chiamiamo MagicWeb, che viene utilizzata da un attore di minacce che tracciamo come NOBELIUM per mantenere l’accesso persistente agli ambienti compromessi. NOBELIUM rimane molto attivo, eseguendo più campagne in parallelo rivolte a organizzazioni governative, organizzazioni non governative (ONG), organizzazioni intergovernative (IGO) e gruppi di riflessione negli Stati Uniti, in Europa e in Asia centrale. 

25 OTTOBRE 2021 | Microsoft continua a mettere in guardia aziende ed enti dagli attacchi provenienti dalla Russia da parte del gruppo di hacker Nobelium, tuttora molto attivo, mettendo in risalto gli attacchi avvenuti nel periodo compreso tra maggio e ottobre. Nonostante i ripetuti avvertimenti, negli ultimi mesi sarebbero stati 600 gli attacchi, di cui 14 andati a buon fine.

Abbiamo iniziato a osservare questa ultima campagna nel maggio 2021 e abbiamo notificato ai partner e ai clienti interessati dall’impatto, sviluppando anche nuova assistenza tecnica e guida per la comunità dei rivenditori. Da maggio, abbiamo informato più di 140 rivenditori e fornitori di servizi tecnologici che sono stati presi di mira da Nobelium. Continuiamo a indagare, ma ad oggi riteniamo che fino a 14 di questi rivenditori e fornitori di servizi siano stati compromessi. Fortunatamente, abbiamo scoperto questa campagna durante le sue fasi iniziali e stiamo condividendo questi sviluppi per aiutare i rivenditori di servizi cloud, i fornitori di tecnologia e i loro clienti ad adottare misure tempestive per garantire che Nobelium non abbia più successo.
Questi attacchi hanno fatto parte di una più ampia ondata di attività Nobelium quest’estate. Infatti, tra il 1 luglio e il 19 ottobre di quest’anno, abbiamo informato 609 clienti di essere stati attaccati 22.868 volte da Nobelium, con un tasso di successo a una sola cifra. In confronto, prima del 1° luglio 2021, negli ultimi tre anni avevamo informato i clienti di attacchi da parte di tutti gli attori dello stato nazionale 20.500 volte.

8 OTTOBRE 2021 | Microsoft ha pubblicato una nuova ricerca sulla sicurezza mettendo in luce come la metà degli attacchi informatici sia stato di provenienza russa nell’ultimo anno. Potete leggere il rapporto completo a questo indirizzo.

Nell’ultimo anno, il 58 % di tutti gli attacchi informatici osservati da Microsoft dagli stati-nazione è arrivato dalla Russia. E gli attacchi degli attori statali russi sono sempre più efficaci, passando da un tasso di successo del 21 % lo scorso anno a un tasso del 32 % quest’anno. Gli attori statali russi stanno prendendo sempre più di mira le agenzie governative per la raccolta di informazioni, che sono passate dal 3 % dei loro obiettivi un anno fa al 53 %, in gran parte agenzie coinvolte nella politica estera, nella sicurezza nazionale o nella difesa. I primi tre paesi presi di mira dagli attori statali russi sono stati gli Stati Uniti, l’Ucraina e il Regno Unito.

29 SETTEMBRE 2021 | In un nuovo report, Microsoft mette nuovamente in guardia dal gruppo di hacker russi Nobelium protagonisti di altri attacchi tramite il malware Foggyweb a partire dallo scorso aprile per rubare informazioni a organizzazioni, aziende ed enti governativi – maggiori dettagli a questo indirizzo.

14 LUGLIO 2021 | Microsoft continua a mettere in guardia dagli attacchi verso l’azienda SolarWinds, ma questa volta provenienti dalla Cina. Un gruppo hacker, che si nasconde dietro il nome DEV-0322, sarebbe responsabile di un exploit della vulnerabilità 0-day CVE-2021-35211, in grado mettere in pericolo le reti aziendali e governative.

Microsoft ha rilevato un exploit di esecuzione di codice remoto 0-day utilizzato per attaccare il software FTP SolarWinds Serv-U in attacchi limitati e mirati. Il Microsoft Threat Intelligence Center (MSTIC) attribuisce questa campagna con grande fiducia a DEV-0322, un gruppo che opera fuori dalla Cina, sulla base di vittimologia, tattiche e procedure osservate.

27 GIUGNO 2021 | A un mese di distanza, Microsoft avverte ancora che il gruppo di hacker russi che si cela dietro il nome Nobelium è nuovamente attivo con nuovi attacchi verso account di reti aziendali e governative – maggiori dettagli a questo indirizzo.

28 MAGGIO 2021 | Microsoft mette in guardia nuovamente dal gruppo hacker russo denominato Nobelium, responsabile dell’attacco Solorigate tornato attivo con numerosi attacchi a enti governativi e ONG sparsi in tutto il mondo.

Questa settimana abbiamo osservato attacchi informatici da parte dell’attore della minaccia Nobelium contro agenzie governative, think tank, consulenti e organizzazioni non governative. Questa ondata di attacchi ha preso di mira circa 3.000 account di posta elettronica in più di 150 organizzazioni diverse. Mentre le organizzazioni negli Stati Uniti hanno ricevuto la quota maggiore di attacchi, le vittime mirate si estendono in almeno 24 paesi. Almeno un quarto delle organizzazioni prese di mira erano coinvolte in attività di sviluppo internazionale, umanitarie e per i diritti umani. Nobelium, originario della Russia, è lo stesso attore dietro gli attacchi ai clienti di SolarWinds nel 2020. Questi attacchi sembrano essere la continuazione dei molteplici sforzi di Nobelium per prendere di mira le agenzie governative coinvolte nella politica estera come parte degli sforzi di raccolta di informazioni.  

26 FEBBRAIO 2021 | Nuovi sviluppi nella vicenda Solorigate coinvolgono Microsoft, criticata dal governo americano tramite un membro del senato per aver favorito l’attacco hacker a causa di negligenze nella sicurezza della sua infrastruttura cloud.

Il governo federale spende miliardi per il software Microsoft. Dovrebbe essere cauto nello spendere di più prima di scoprire perché la società non ha avvertito il governo della tecnica di hacking utilizzata dai russi, che Microsoft conosceva almeno dal 2017.

Microsoft ha ribadito la sua innocenza, replicando che le tecniche utilizzate nell’attacco non erano mai state utilizzate prima d’ora. Proprio per dimostrare la sua buona fede, nelle scorse ore Microsoft ha annunciato di aver reso disponibile a tutti il codice utilizzato per identificare l’attacco.

18 FEBBRAIO 2021 | Dopo aver riconosciuto l’attacco, Microsoft ha annunciato di aver concluso le indagini interne in merito alla faccenda Solorigate stabilendo che gli hacker hanno effettivamente sfruttato Azure e altri servizi, ma nessun dato degli utenti o aziende terze è stato compromesso, come dichiarato in precedenza.

Abbiamo ora completato la nostra indagine interna sull’attività dell’attore e vogliamo condividere i nostri risultati, che confermano che non abbiamo trovato prove di accesso ai servizi di produzione o ai dati dei clienti. L’indagine non ha inoltre rilevato alcuna indicazione che i nostri sistemi in Microsoft siano stati utilizzati per attaccare altri.

02 GENNAIO 2021 | In un nuovo report pubblicato nelle scorse ore, Microsoft ha confermato di aver subito l’attacco da parte di un gruppo di hacker, ma che nessun dato degli utenti o servizi sono stati compromessi dalla vicenda Solorigate.

La nostra indagine sul nostro ambiente non ha trovato prove di accesso ai servizi di produzione o ai dati dei clienti. L’indagine, in corso, non ha inoltre rilevato indicazioni che i nostri sistemi siano stati utilizzati per attaccare altri.

Microsoft hackerata

Microsoft sarebbe tra le vittime di un attacco hacker proveniente dalla Russia che mirava principalmente alle agenzie governative, ma che avrebbe coinvolto ben 40 obiettivi e 17’000 clienti nel mondo. Sarebbe finita in mezzo al fuoco degli hacker anche Microsoft, per sua stessa ammissione a causa dello sfruttamento di un exploit del software SolarWind.

Microsoft è stata hackerata come parte della sospetta campagna russa che ha colpito più agenzie governative statunitensi approfittando dell’uso diffuso del software di SolarWinds Corp, secondo persone che hanno familiarità con la questione.

Tuttavia, contrariamente a quanto originariamente pensato, nessun software proprietario di Microsoft sarebbe stato direttamente coinvolto con l’attacco, per tanto non dovrebbe esserci alcun tipo problema di sicurezza per gli utenti.

Come altri clienti SolarWinds, abbiamo cercato attivamente indicatori di questo attore e possiamo confermare di aver rilevato file binari SolarWinds dannosi nel nostro ambiente, che abbiamo isolato e rimosso. Non abbiamo trovato prove di accesso ai servizi di produzione o ai dati dei clienti. Le nostre indagini, che sono in corso, non hanno trovato assolutamente alcuna indicazione che i nostri sistemi siano stati utilizzati per attaccare altri.

Tramite il presidente Brad Smith, Microsoft ha fatto sapere che sta indagando sull’accaduto ma che si tratta senza ombra di dubbio di un attacco mirato allo spionaggio molto sofisticato da parte di una precisa nazione.

Come ha dichiarato il CEO di FireEye Kevin Mandia, dopo aver rivelato il recente attacco, “Stiamo assistendo a un attacco da parte di una nazione con capacità offensive di alto livello”. Mentre gli esperti di sicurezza informatica Microsoft assistono nella risposta, siamo giunti alla stessa conclusione. L’attacco purtroppo rappresenta un attacco di spionaggio ampio e di successo sia alle informazioni riservate del governo degli Stati Uniti che agli strumenti tecnologici utilizzati dalle aziende per proteggerle. L’attacco è in corso ed è attivamente indagato e affrontato dai team di sicurezza informatica nei settori pubblico e privato, inclusa Microsoft. Mentre i nostri team agiscono come primi soccorritori a questi attacchi, queste indagini in corso rivelano un attacco che è notevole per la sua portata, sofisticazione e impatto.

Nelle scorse ore Microsoft aveva anche collaborato attivamente per fermare l’attacco rilasciando un killswitch per disattivare il malware responsabile che aveva infettato il software SolarWinds. Cosa pensate dell’accaduto? Pessima figura per Microsoft o niente di preoccupante? Diteci la vostra nei commenti.

Articolo di Windows Blog Italia
Fonti | 1, 2, 3

Read Entire Article