吳明宜俄羅斯駭客組織Midnight Blizzard於今年1月駭入微軟,竊取了公司程式原始碼和部分高層主管信件,並試圖存取內部電腦系統。目前微軟尚未發現面向客戶的系統遭駭的證據。
微軟上周指出,一月存取公司網路並竊看高層主管信件的俄羅斯國家駭客組織 Midnight Blizzard,也竊取了公司程式原始碼,可能也存取了內部電腦系統。
全球軟體龍頭指出,近幾個星期觀察到 Midnight Blizzard 在一月事件後又持續攻擊公司網路。它利用年初從公司郵件中獲得的資訊成功或試圖存取公司系統,包括程式原始碼庫和內部系統。微軟並未說明是什麼程式,或什麼系統,僅說目前仍未發現在微軟平台上,面向客戶的系統遭駭的證據。
微軟相信 Midnight Blizzard 仍然試圖利用微軟和客戶之間郵件流通的不同類憑證,執行其他攻擊。微軟並警告,駭客組織已增強某些攻擊手法,像是密碼潑灑 (password spray),二月強度比一月觀察到的強 10 倍,而這情況在國家駭客的進階攻擊下愈來愈普及。
Midnight Blizzard 又稱 APT 29 、 Nobelium 或 Cozy Bear,因 2020 年喧騰一時的 SolarWinds 供應鏈攻擊而聞名,它今年一月利用密碼潑灑手法駭入一個非生產的舊測試租戶帳號,成功進入微軟內部網路,再利用帳號的權限存取一小部份微軟公司郵件帳號。最後這群駭客成功外洩部份郵件和附件。
微軟安全部門是在今年 1 月 12 日在公司網路上偵測到 Midnight Blizzard 行動,隨後追溯到他們在 2023 年 11 月就已遭到感染。
這宗俄羅斯駭客事件不到六個月前,中國駭客也被發現利用盜來的 Azure AD 簽章金鑰,駭入微軟 Microsoft 365 的郵件信箱。
中國駭客事件之後,導致美國近 25 個政府組織的郵件被竊取,目前美國網路安全暨基礎架構安全署 (CISA) 的網路安全審查委員會調查中。