Após ter sido atacada, a Microsoft está a alertar para a ameaça da Midnight Blizzard. Este grupo de hackers apoiado pela Rússia mostrou grandes falhas de segurança na Microsoft, mas a empresa parece agora querer dizer que aprendeu a lição.

O grupo Midnight Blizzard (também conhecido como Nobelium) conseguiu obter as informações de correio eletrónico de executivos de alto nível da Microsoft através de um locatário antigo. Através deste inquilino, que aparentemente já não era conhecido pelas equipas de segurança da Microsoft, o grupo foi capaz de se mover lateralmente para aceder aos e-mails. Escrevemos um post sobre o assunto logo após o incidente na semana passada.

Num extenso blogue, a Microsoft explica como a empresa descobriu os negócios da Midnight Blizzard. Também tenta sublinhar que a infiltração não podia acontecer apenas aos clientes. Se o locatário legado afetado tivesse sido implementado hoje, as práticas atuais teriam impedido um ataque, afirma a Microsoft. No entanto, essa explicação não vai dissipar as críticas dos especialistas sobre o incidente.

História antiga

É de louvar o facto de a Microsoft ser franca quanto aos métodos de um atacante que penetrou na própria empresa. Estas iniciativas ajudam outras organizações a prepararem-se para incidentes semelhantes. No entanto, é notável que o novo blogue repita muita informação de coberturas anteriores. De facto, em junho de 2023, a Microsoft deu o alarme sobre as táticas da Midnight Blizzard. Foram mencionadas credenciais roubadas, vulnerabilidades no software de webmail e a implantação de malware JavaScript. O gigante da tecnologia também publicou um blogue dois meses depois, mostrando que a Midnight Blizzard enganou as pessoas no Teams para contornar o MFA. A propósito, o ataque à Microsoft não exigiu isso, pois o MFA foi desativado para acessar o ambiente corporativo.

Agora, a Microsoft está a destacar os passos reais que o grupo deu para entrar na empresa sediada em Redmond e permanecer invisível. O acesso inicial foi obtido através da pulverização de palavras-passe, enquanto as aplicações OAuth foram implementadas para fins maliciosos. Estas ferramentas permitiram receber autenticação para o Microsoft Exchange Online, onde se encontravam os e-mails corporativos. Os hackers evitaram então a deteção, operando através de endereços IP residenciais sem saída.

Em declarações ao Político, o CTO da nbhd.ai Marc Rogers sugere que a retórica da Microsoft é enganadora. “De facto, parece que há uma falha maciça das melhores práticas de segurança”, argumenta. O vice-presidente sénior de operações contra adversários da CrowdStrike Adam Meyers acrescentou: “Posso dizer a você como alguém que trabalha numa empresa de segurança: nossos executivos não estão sentados em locatários legados sem um MFA.”

Outras organizações avisadas

A Microsoft revela no blogue que sabe que outras organizações também foram afetadas pelo Midnight Blizzard. A HPE é uma delas, embora a empresa não tenha podido confirmar imediatamente uma ligação entre o incidente da Microsoft e a sua própria infiltração. Resta saber quais as organizações que também foram invadidas com sucesso. De qualquer forma, a Midnight Blizzard tem como alvo principal os departamentos governamentais, as ONG e os grandes fornecedores de serviços de TI na Europa e nos EUA. O infame hack da SolarWinds de 2020 também foi levado a cabo por este grupo.

É incerto se vamos ouvir de cada uma das partes que também foram afetadas por este grupo. De qualquer forma, tratar-se-ia de uma importante campanha de ciberespionagem. A própria Microsoft sugere que os atacantes pretendiam apenas obter o conhecimento da empresa sobre as atividades do gigante tecnológico. Dado que a Microsoft é a maior empresa de segurança de terminais do mundo, esse objetivo e o alvo específico não são totalmente surpreendentes.

No entanto, temos de nos perguntar porque é que as contas corporativas foram exatamente visadas. Afinal de contas, as caixas de correio dos funcionários seniores da Microsoft (e da HPE) contêm muito mais informações do que apenas o conhecimento sobre o grupo de hackers. A partir desta informação roubada, que ainda estará nas mãos da Midnight Blizzard, podem ser recolhidos muitos dos planos futuros da Microsoft. No entanto, pouco se sabe sobre a informação exata que foi roubada. Sabemos, tanto da Microsoft como da HPE, que apenas uma “pequena parte” das caixas de correio eletrónico da empresa esteve envolvida. Por isso, o impacto desta pirataria ainda não é conhecido, bem como quem mais esteve na mira da Midnight Blizzard.