Információk mellett forráskódokat is loptak a Microsofttól. A vállalat rövid közleménye szerint folytatódtak a vállalat rendszerei ellen azok a támadások, melyeket a biztonsági részleg januárban azonosított. A támadások mögött nagy valószínűséggel az orosz állam által támogatott Midnight Blizzard vagy Nobelium néven ismert hekkercsapat áll.

A januárban felfedezett támadás során ugyanez a csapat a vállalat felső vezetőinek levelezéséhez fért hozzá. Bár akkor a biztonsági részleg azonnal lépett, úgy tűnik nem elég hatékonyan. A támadók még jelentősen fokozták is tevékenységüket: februárban az ún. password spraying kísérletek például megtízszereződtek, pedig már januárban is jelentős volt az ilyen típusú támadás. (A fejlett brute force technika lényege, hogy a támadó igyekszik több fióknál is ugyanazzal a már kompromittált jelszóval belépni. A módszer arra épít, hogy a felhasználók kényelemből több fiókjukhoz is ugyanazt a név-jelszó párost használják.)

Az erőfeszítéseket siker koronázta. Az elmúlt hetekben a hekkereknek sikerült hozzáférniük a vállalat bizonyos belső rendszerihez, illetve forráskód-tárolókhoz is. Arra azonban a belső vizsgálatok még nem találtak bizonyítékot, hogy a Microsoft által üzemeltetett ügyfélrendszerek is kompromittálódtak volna.

Egy régi tesztfiók volt a probléma gyökere

A közlemény nem részletezte, hogy milyen termékek forráskódja szivárgott ki, de az okokra ad egy magyarázatot. A támadók a megszerzett információkat felhasználhatják arra, hogy képet alkosson a megtámadandó területekről, és erősítsék támadási képességeiket.

A vállalat biztonsági csapata megtette a szükséges intézkedéseket. Azonosították azokat az ügyfelekkel történt e-mailváltásokat, melyekből a hekkerek a támadásokhoz szükséges információkhoz jutottak. Értesítették az érintetteket, illetve segítséget is nyújtanak a védekezéshez.

Ha közleményben nem is, az értékpapír- és tőzsdefelügyelethez, a SEC-hez benyújtott tájékoztatóban a Microsoft már elárul néhány részletet a támadás folyamatáról. Password spray támadással törek fel egy régi tesztfiókot, és annak jogosultságait használva hozzáfértek "a Microsoft vállalati e-mail fiókjainak egy nagyon kis százalékához, beleértve a felső vezetői csapatunk tagjait, valamint a kiberbiztonsági, jogi és egyéb funkciókban dolgozó alkalmazottakat, és kiszivárogtattak néhány e-mailt és csatolt dokumentumot. A vizsgálat szerint eredetileg magával a Midnight Blizzarddal kapcsolatos információkat kerestek az e-mail fiókokban." A SEC-nek beadott tájékoztatóból derül ki az is, hogy az először január 12-én észlelt támadás tavaly novemberben kezdődhetett.

És hogy ki a támadó? A Midnight Blizzard, melyet eredetileg Cozy Bear néven azonosítottak, egyike annak a két oroszokhoz köthető hekkercsapatnak, melyeket 2016-ban az amerikai demokrata párt elleni támadással is vádoltak. Biztonsági szakértők szerint a csoport szorosan kapcsolódik az SVR-hez, Oroszország külső hírszerző szolgálatához. Feltételezések szerint 2010-es évek elejétől működik, főleg diplomáciai és politikai ügyeken dolgozik.

_{(Illusztráció: Microsoft)}