微软周五透露,在2024年1月曝光的一次黑客攻击之后,克里姆林宫支持的名为Midnight Blizzard(又名APT29或CozyBear)的威胁组织成功访问了其部分源代码存储库和内部系统。
“最近几周,我们看到有证据表明Midnight Blizzard正在利用最初从我们公司电子邮件系统中泄露的信息来获取或试图获取未经授权的访问,”这家科技巨头表示。
“这包括访问公司的一些源代码存储库和内部系统。迄今为止,我们还没有发现任何证据表明微软托管的面向客户的系统已受到损害。”
Redmond正在继续调查此次泄露的程度,该公司表示,俄罗斯国家支持的威胁行为者正试图利用其发现的不同类型的秘密,包括客户和微软在电子邮件中共享的秘密。
然而,它没有透露这些秘密是什么或妥协的规模,尽管它表示已直接联系受影响的客户。目前尚不清楚访问了哪些源代码。
微软表示已增加安全投资,并进一步指出,与1月份观察到的“已经很大的数量”相比,对手2月份的密码喷洒攻击数量增加了10倍之多。
“Midnight Blizzard正在进行的攻击的特点是威胁行为者持续、大量地投入资源、协调和重点,”它说。
“它可能会利用所获得的信息来积累攻击区域的情况,并增强其攻击能力。这反映了更广泛的前所未有的全球威胁格局,特别是在复杂的民族国家攻击方面。”
据称,微软的漏洞发生在2023年11月,Midnight Blizzard采用密码喷射攻击成功渗透到未启用多重身份验证(MFA)的旧版非生产测试租户帐户。
这家科技巨头在一月下旬透露,APT29通过利用从窃取凭证到供应链攻击等多种初始访问方法来瞄准其他组织。
Midnight Blizzard是谁
Midnight Blizzard(又名 Nobelium、APT29 和 Cozy Bear)是一个由国家资助的黑客组织,与俄罗斯对外情报局 (SVR) 有联系。Midnight Blizzard被认为是俄罗斯对外情报局(SVR)的一部分。该威胁发起者至少自2008年以来一直活跃,是最多产、最复杂的黑客组织之一,危害了SolarWinds等备受瞩目的目标。
该黑客组织在2020年进行SolarWinds供应链攻击后声名鹊起,该攻击使威胁行为者入侵了包括微软在内的众多公司。
微软后来证实,这次攻击使Midnight Blizzard窃取了有限数量的Azure、Intune和Exchange组件的源代码。
2021年6月,该黑客组织再次入侵了微软公司帐户,使他们能够访问客户支持工具。
此后,该黑客组织与针对北约和欧盟国家、以大使馆和政府机构为目标的大量网络间谍攻击有关 。
除了进行网络间谍和数据盗窃攻击之外,Nobelium还因开发用于攻击的定制恶意软件而闻名。