Microsoft, el conocido gigante tecnológico detrás de Windows, Bing y Outlook, ha anunciado que su equipo de seguridad detectó el 12 de enero de 2024 un ataque contra él perpetrado por un grupo de ciberatacantes presuntamente patrocinado por Rusia llamado Midnight Blizzard o Nobelium.
Si cruzamos los datos que proporciona la compañía, llegamos a la conclusión de que se trata de la misma amenaza persistente avanzada (APT) que estuvo detrás del ciberataque contra SolarWinds en el año 2020, el cual terminó afectando a corporaciones colateralmente a empresas como Cisco, Intel VMware, NVIDIA y Microsoft debido a que eran clientes.
Además, el gigante de Redmond reconoció que, mediante el software de SolarWinds comprometido, los atacantes llegaron hasta a acceder al código fuente que almacena.
Volviendo al último ataque que recibido Microsoft, la corporación ha explicado lo siguiente a través de su blog oficial:
A partir de finales de noviembre de 2023, el actor de amenazas utilizó un ataque de pulverización de contraseñas para comprometer una cuenta arrendataria de prueba heredada que no era de producción y hacerse un hueco, y luego utilizó los permisos de la cuenta.
Para acceder a un porcentaje muy pequeño de cuentas de correo electrónico corporativas de Microsoft, incluidos los miembros de nuestro equipo de liderazgo senior y empleados en nuestras funciones legales, de ciberseguridad y otras funciones, y filtró algunos correos electrónicos y documentos adjuntos.”
Investigación de ciberataque a Microsoft
“La investigación indica que inicialmente apuntaban a cuentas de correo electrónico en busca de información relacionada con Midnight Blizzard. Estamos en el proceso de notificar a los empleados cuyo correo electrónico fue accedido”.
Microsoft explica que por ahora no ha encontrado evidencias de que una vulnerabilidad fuera explotada ni de que Midnight Blizzard accediera a los entornos de los clientes, los sistemas de producción, el código fuente o los sistemas de inteligencia artificial.
Sin embargo, sí ha confirmado el acceso a cuentas de correo electrónico de índole corporativo, incluyendo parte de la dirección y empleados de áreas como la legal, ciberseguridad y otras. Viendo lo que ha abarcado el ciberataque, todo apunta a que el objetivo era hacerse con datos importantes de la compañía.
El ciberataque se habría producido solo unos días después de que Microsoft anunciara Secure Future Initiative (SFI), una iniciativa con la que pretende mejorar su propia ciberseguridad con una protección avanzada que se apoya en tres pilares:
Poner el foco en defensas cibernéticas basadas en inteligencia artificial, avances en ingeniería de software fundamental y promoción de una aplicación más estricta de normas internacionales para proteger a los civiles de las amenazas cibernéticas.
Redmond
El gigante de Redmond ha reconocido que “este incidente ha puesto de relieve la urgente necesidad de actuar aún más rápido.
Actuaremos de inmediato para aplicar nuestros estándares de seguridad actuales a los sistemas heredados y procesos comerciales internos propiedad de Microsoft, incluso cuando estos cambios puedan causar interrupciones en los procesos comerciales existentes.
Es probable que esto cause cierto nivel de disrupción mientras nos adaptamos a esta nueva realidad, pero este es un paso necesario y solo el primero de varios que daremos para adoptar esta filosofía”.
Puede que en los próximos días o semanas sepamos más sobre este nuevo ciberataque que ha recibido Microsoft, el cual posiblemente termine derivando en un nuevo choque político entre Estados Unidos y Rusia si se confirma el origen mencionado por la compañía.
También puede interesarte leer: Estas fueron las contraseñas más usadas durante 2023