El equipo de seguridad de Microsoft ha revelado hoy que detectaron un sofisticado ataque perpetrado por el actor estatal-nación Midnight Blizzard el 12 de diciembre de 2023. Este grupo, conocido como el actor patrocinado por el estado ruso, Nobelium, logró comprometer una cuenta de inquilino de prueba heredada a finales de 2023, utilizando un ataque de pulverización de contraseñas como punto de entrada.
La cuenta comprometida, aunque no era de producción, permitió al grupo acceder a un porcentaje muy pequeño de cuentas de correo electrónico corporativas de Microsoft. Entre las cuentas afectadas se encuentran miembros del equipo de liderazgo senior, empleados en funciones legales, de ciberseguridad y otros departamentos. La investigación sugiere que la principal motivación era obtener información relacionada con Midnight Blizzard.
Microsoft ha enfatizado que el ataque no fue el resultado de una vulnerabilidad en sus productos o servicios. Hasta la fecha, no hay evidencia de que el actor de la amenaza haya tenido acceso a entornos de clientes, sistemas de producción, código fuente o sistemas de inteligencia artificial. Sin embargo, algunos correos electrónicos y documentos adjuntos fueron exfiltrados durante el incidente.
En respuesta a este ataque, Microsoft ha anunciado medidas significativas para fortalecer su postura de seguridad. La compañía está aplicando de inmediato sus estándares de seguridad actuales a los sistemas heredados y procesos comerciales internos, incluso si esto implica interrupciones en los procesos existentes. Esta acción es parte de Secure Future Initiative (SFI) anunciada por Microsoft a finales del año pasado, que reconoce la necesidad de un enfoque más proactivo y rápido para abordar las amenazas cibernéticas.
Aunque se espera cierta disrupción durante este proceso de fortalecimiento de la seguridad, Microsoft considera que es un paso necesario para adaptarse a la nueva realidad de amenazas cibernéticas respaldadas por estados-nación.
La compañía continúa su investigación y colaborará estrechamente con autoridades y reguladores pertinentes. Además, reitera su compromiso con la transparencia y compartirá información adicional sobre el incidente y las medidas tomadas, con el objetivo de fortalecer la ciberseguridad de la comunidad en general.