Microsoft ancora nel mirino di cybercriminali. La società ha confermato che i hacker del governo russo, noti come Midnight Blizzard, stanno continuando ad infiltrarsi nei suoi sistemi interni utilizzando informazioni ottenute durante un attacco dell’anno scorso che aveva “bucato” i sistemi di posta elettronica aziendali e rubato email e documenti dagli account dei dipendenti. Questa volta, l’azienda ha rivelato che Midnight Blizzard ha mirato al codice sorgente di Microsoft e ad altri sistemi interni sensibili.
“Nelle ultime settimane, abbiamo raccolto prove che il gruppo hacker Midnight Blizzard (o Nobelium) sta usando informazioni che erano state rubate dai nostri sistemi mail aziendali per ottenere, o cercare di ottenere, accesso non autorizzato, compreso quello ad alcuni archivi di codici sorgente della compagnia e sistemi interni. Al momento non abbiamo trovato prove che i sistemi di interfaccia con i clienti in ambiente Microsoft siano stati compromessi”, ha spiegato Microsoft in una nota.
A novembre 2023 il precedente attacco russo
Questa nuova violazione della sicurezza arriva dopo che Microsoft aveva rivelato a gennaio di quest’anno che gli hacker russi erano entrati nei sistemi dell’azienda lo scorso novembre. Durante quell’episodio, gli hacker avevano accesso agli account di posta elettronica aziendali di team dirigenziali senior e dipendenti nelle funzioni di sicurezza informatica, legale e altre, con l’obiettivo di scoprire quali informazioni Microsoft detenesse su di loro.
Secondo Microsoft, le attività degli hacker russi dimostrano un impegno prolungato e significativo delle loro risorse, coordinazione e concentrazione. Non è chiaro quali specifici codici sorgente abbiano ottenuto gli hacker, ma si ritiene che stiano cercando di utilizzare “segreti di diverso tipo che hanno trovato” nelle email condivise tra Microsoft e i suoi clienti. L’azienda sta contattando i clienti per assistere nell’adozione di misure di mitigazione del rischio avvertendo che Midnight Blizzard potrebbe utilizzare le informazioni ottenute per pianificare ulteriori attacchi e migliorare le proprie capacità offensive.
Chi sono i Midnight Blizzard
Midnight Blizzard, noto anche come APT29, è un gruppo di hacker sospettato di essere affiliato al Servizio di Intelligence Estera russo (SVR). L’emergere iniziale delle operazioni di Midnight Blizzard è avvenuto nel 2008 quando i primi campioni di malware MiniDuke sono stati compilati secondo Kaspersky. APT29 utilizza una vasta gamma di tecniche avanzate nelle loro operazioni informatiche a sostegno dei requisiti di intelligence dell’SVR.
Il Gruppo prende di mira pesantemente le organizzazioni responsabili di influenzare la politica estera dei paesi Nato. Midnight Blizzard è stato sospettato di essere coinvolto in diversi tentativi di intrusioni e compromissioni di alto profilo, tra cui la campagna Office Monkeys nel 2014 che ha preso di mira un istituto di ricerca privato con sede a Washington D.C., il Pentagono nel 2015, il Comitato Nazionale Democratico (DNC) e think tank statunitensi nel 2016, il governo norvegese e diversi ministeri olandesi nel 2017. Il gruppo ha anche preso di mira organizzazioni nel settore dell’istruzione affiliate alla ricerca medica. È molto probabile che il gruppo prenda di mira tali istituzioni per scopi di spionaggio, al fine di estrarre dati relativi ai progressi medici occidentali.
