Microsoft ha confirmado ahora que los ciberespías rusos que irrumpieron en las cuentas de correo electrónico de sus ejecutivos robaron el código fuente y obtuvieron acceso a los sistemas internos. El gigante de Redmond ha calificado la intrusión de «en curso». En una publicación actualizada sobre seguridad y presentación de la Bolsa de Valores de EE. UU., Microsoft proporcionó más detalles sobre la violación, que reveló originalmente en enero. En ese momento, Microsoft dijo que Midnight Blizzard (la empresa respaldada por el Kremlin, también conocida como Cozy Bear y APT29, que estaba detrás del ataque a la cadena de suministro de SolarWinds) husmeó en «un porcentaje muy pequeño de las cuentas de correo electrónico corporativas de Microsoft» y robó mensajes y archivos internos. pertenecientes al equipo directivo, empleados de ciberseguridad y jurídicos. «No hay evidencia de que el actor de la amenaza tuviera acceso a los entornos de los clientes, sistemas de producción, código fuente o sistemas de inteligencia artificial», dijo Redmond en enero. Eso ha cambiado desde entonces. «En las últimas semanas, hemos visto evidencia de que Midnight Blizzard está utilizando información inicialmente extraída de nuestros sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado», según la última divulgación. «Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la empresa». Microsoft sostiene que hasta el momento «no hay pruebas» de que los delincuentes rusos hayan comprometido ningún sistema de cara al cliente. Pero eso no es por falta de intentos. «Es evidente que Midnight Blizzard está intentando utilizar secretos de diferentes tipos que ha encontrado», admitió la compañía. «Algunos de estos secretos fueron compartidos entre los clientes y Microsoft por correo electrónico y, a medida que los descubrimos en nuestro correo electrónico filtrado, nos hemos acercado y estamos contactando a estos clientes para ayudarlos a tomar medidas de mitigación». También parece que esta no es la última vez que escucharemos sobre el robo, que comenzó en noviembre y utilizó ataques de pulverización de contraseñas para comprometer una cuenta corporativa que no tenía habilitada la autenticación multifactor. Los espías todavía están intentando acceder a cuentas adicionales de Microsoft, y nos dicen que el volumen de contraseñas se multiplicó por diez en febrero en comparación con el volumen de ataques de este tipo vistos en enero. El lado positivo, según el Formulario 8-K actualizado de Microsoft, es que el problema de seguridad no ha tenido ningún impacto financiero en las operaciones… todavía. Redmond dice que su investigación está en curso y prometió compartir actualizaciones. «El ataque en curso de Midnight Blizzard se caracteriza por un compromiso sostenido y significativo de los recursos, la coordinación y el enfoque del actor de la amenaza», decía la actualización de seguridad. «Puede estar utilizando la información que ha obtenido para acumular una imagen de las áreas que atacar y mejorar su capacidad para hacerlo. Esto refleja lo que se ha convertido en un panorama de amenazas globales sin precedentes, especialmente en términos de ataques sofisticados a Estados-nación». ®

Source link