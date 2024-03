Microsoft is getroffen door een nieuwe inbraak op interne systemen en repositories met broncode. Ook zijn secrets die het techbedrijf met klanten uitwisselde buitgemaakt. De aanval is uitgevoerd door de groep aanvallers die vorig jaar wekenlang onopgemerkt toegang tot zakelijke e-mailaccounts van Microsoft had, aldus Microsoft in een zeer summiere, vandaag gepubliceerde verklaring.

In de verklaring stelt Microsoft dat het de afgelopen weken bewijs heeft gezien dat de aanvallers informatie gebruiken die ze vorig jaar uit de zakelijke e-mailsystemen van het bedrijf hebben gestolen om ongeautoriseerde toegang te krijgen. Daarbij is het de aanvallers gelukt om toegang tot meerdere 'source code repositories' en interne systemen van Microsoft te krijgen. Om welke repositories en interne systemen het gaat is niet bekendgemaakt.

Daarnaast hebben de aanvallers bij de aanval vorig jaar ook 'secrets' buitgemaakt die via e-mail door Microsoft met klanten werden gedeeld. De aanvallers proberen nu deze secrets te gebruiken. Microsoft zegt dat het de klanten in kwestie heeft ingelicht en helpt bij het nemen van mitigerende klanten. Wederom ontbreken details zoals om wat voor secrets het gaat, waar de aanvallers toegang toe proberen te krijgen en hoeveel klanten zijn getroffen.

Password spraying

De inbraak op de e-mailsystemen van Microsoft vorig jaar vond plaats via password spraying. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd.

Microsoft stelde eerder dit jaar dat de aanvallers op deze manier eind november vorig jaar toegang kregen tot een 'legacy non-production test tenant account'. Vervolgens gebruikten de aanvallers de permissies van dit account om toegang tot zakelijke e-mailaccounts van Microsoft zelf te krijgen. Het ging om medewerkers van het hoger management, het cybersecurity team, juridische afdeling en andere functies. Daarbij werden e-mails en bijlagen gestolen.

Vandaag laat Microsoft aanvullend weten dat de groep aanvallers het aantal password spraying-aanvallen heeft opgevoerd. De groep aanvallers wordt door het techbedrijf 'Midnight Blizzard' genoemd en zou een vanuit Rusland opererend statelijke actor zijn die ook bekendstaat als Cozy Bear of APT29.