微软在上周五(3月8日)披露消息,称具有俄罗斯背景的APT组织午夜暴风雪(又名APT29或Cozy Bear),在2024年1月的黑客攻击事件中,访问了微软部分源代码库和内部系统,但并没有发现微软托管系统和用户发生安全事件。同时该公司指出,在最近几周内已经发现,午夜暴风雪正在利用此前窃取的信息来试图获得未授权的访问。
目前,微软正在继续调查安全漏洞的范围,并且已经和可能受影响的用户进行沟通,但未向外界公布具体哪些源代码和机密信息被窃取。
微软表示,公司已经增加了安全领域的投资,并注意到攻击风险正在持续上升,与1月份观察到的“很大体量攻击”相比,黑客2月份针对微软的密码喷涂攻击活动增加了整整10倍。
微软进一步指出,午夜暴风雪的持续攻击特点是威胁行动者的资源、协调和专注的持续、显著的投入。该组织可能正在使用它所获得的信息来积累攻击领域的力量,增强其攻击能力,这反映了全球威胁环境变得前所未有复杂。
消息显示,微软的安全漏洞发生在2023年11月,午夜暴风雪利用密码喷涂攻击成功渗透了一个遗留的、非生产测试账户,该账户未启用多因素认证(MFA)。
这家科技巨头在1月底透露,午夜暴风雪通过利用从盗取凭证到供应链攻击的多种初始访问方法,针对其他组织进行了攻击。午夜暴风雪被认为是俄罗斯外情局(SVR)的一部分,自2008年起活跃,该APT组织是最多产和最复杂的黑客团伙之一,曾经渗透了SolarWinds等高调目标。
Tenable的首席执行官Amit Yoran在与The Hacker News分享的一份声明指出,微软被午夜暴风雪攻破是一个战略性打击。午夜暴风雪不是一些小规模的犯罪团伙,他们是一个高度专业的、得到俄罗斯支持的团队,他们完全理解所暴露的数据的价值,以及如何最好地利用这些数据造成最大的伤害。微软的无处不在要求它承担更高水平的责任和透明度,即使现在他们也没有分享全部的真相。例如我们还不知道哪些源代码已经被泄露,这些安全漏洞并不是彼此孤立的,微软的不良安全做法和误导性声明可能会模糊全部真相。
