A Microsoft e a Hewlett-Packard Enterprise (HPE) divulgaram recentemente que sofreram violações de e-mail corporativo nas mãos dos hackers russos “Midnight Blizzard”.
O grupo, que está ligado à inteligência externa SVR do Kremlin, está especificamente ligado ao APT 29 Cozy Bear do SVR, a gangue que se intrometeu nas eleições presidenciais dos Estados Unidos de 2016, conduziu espionagem agressiva governamental e corporativa em todo o mundo durante anos, e foi por trás do infame ataque à cadeia de suprimentos da SolarWinds em 2021. Embora as violações da HP e da Microsoft tenham surgido com poucos dias de diferença, a situação ilustra principalmente a realidade contínua das atividades de espionagem internacional da Midnight Blizzard e até onde ela irá para encontrar pontos fracos nas defesas digitais das organizações.
“Não deveríamos ficar surpresos que os atores de ameaças apoiados pela inteligência russa, e o SVR em particular, tenham como alvo empresas de tecnologia como a Microsoft e a HPE. Com organizações desse tamanho, seria uma surpresa muito maior saber que não o eram”, diz Jake Williams, ex-hacker da Agência de Segurança Nacional dos EUA e atual membro do corpo docente do Instituto de Segurança de Rede Aplicada.
HP Enterprise disse em uma Comissão de Valores Mobiliários dos EUA submissão postou na quarta-feira que a Midnight Blizzard obteve acesso ao seu “ambiente de e-mail baseado em nuvem” no ano passado. A empresa tomou conhecimento da situação pela primeira vez em 12 de dezembro de 2023, mas disse que o ataque começou em maio de 2023. Os hackers “acessaram e exfiltraram dados… de uma pequena porcentagem de caixas de correio HPE pertencentes a indivíduos em nossa segurança cibernética, entrada no mercado, segmentos de negócios e outras funções”, escreveu a empresa no documento da SEC. A HP Enterprise disse que a violação provavelmente surgiu como resultado de outro incidente, descoberto em junho de 2023, no qual Midnight Blizzard também acessou e exfiltrou arquivos “SharePoint” da empresa a partir de maio de 2023. SharePoint é uma plataforma de colaboração em nuvem muito direcionada feita da Microsoft que se integra ao Microsoft 365.
“Os dados acessados são limitados às informações contidas nas caixas de e-mail dos usuários da HPE”, disse o porta-voz da HP Enterprise, Adam Bauer, à WIRED em comunicado. “Continuamos investigando e analisando essas caixas de correio para identificar informações que poderiam ter sido acessadas e faremos as notificações apropriadas conforme necessário.”
Enquanto isso, a Microsoft disse na sexta-feira que detectou uma intrusão no sistema em 12 de janeiro ligada a uma violação de novembro de 2023. Os invasores visaram e comprometeram algumas contas históricas de teste de sistema da Microsoft que lhes permitiram acessar “uma porcentagem muito pequena de contas de e-mail corporativas da Microsoft, incluindo membros de nossa equipe de liderança sênior e funcionários em nossas funções de segurança cibernética, jurídica e outras”. A partir daí, o grupo conseguiu exfiltrar “alguns e-mails e documentos anexados”. A Microsoft observou em sua divulgação que os invasores pareciam estar buscando informações sobre as investigações da Microsoft e o conhecimento da própria Midnight Blizzard.
“O ataque não foi resultado de uma vulnerabilidade em produtos ou serviços da Microsoft. Até o momento, não há evidências de que o ator da ameaça tenha tido acesso aos ambientes dos clientes, sistemas de produção, código-fonte ou sistemas de IA”, escreveu a empresa em sua divulgação. “Este ataque destaca o risco contínuo representado para todas as organizações por atores de ameaças estatais com bons recursos, como a Midnight Blizzard.”
