Microsoft と Hewlett-Packard Enterprise (HPE) は最近、ロシアの「Midnight Blizzard」ハッカーの手によって企業電子メール侵害を受けたことを明らかにしました。
このグループはクレムリンのSVR対外諜報機関と結びついており、特にSVRのAPT 29 Cozy Bearと結びついている。 干渉した 2016年の米国大統領選挙では、政府と企業が攻撃的な政策をとった 世界中のスパイ活動 何年もの間、そして悪名高き2021年の背後にいた SolarWindsのサプライチェーン攻撃。 HP と Microsoft の両方の侵害は互いに数日以内に明らかになりましたが、この状況は主に、Midnight Blizzard の国際的なスパイ活動の進行中の現実と、組織のデジタル防御の弱点を見つけるためにどのような努力をするかを示しています。
「ロシアの諜報機関に支援された攻撃者、特に SVR が Microsoft や HPE などのテクノロジー企業を標的にしていることに驚くべきではありません。 これほどの規模の組織であれば、そうではなかったと知ったら、さらに大きな驚きになるでしょう」と、元米国家安全保障局のハッカーであり、現在は応用ネットワーク セキュリティ研究所の教員であるジェイク ウィリアムズ氏は言います。
HPエンタープライズは米国証券取引委員会でこう述べた。 提出 水曜日、Midnight Blizzard が昨年同社の「クラウドベースの電子メール環境」にアクセスできるようになったと投稿した。 同社がこの状況を初めて知ったのは 2023 年 12 月 12 日だったが、攻撃は 2023 年 5 月に始まったと述べた。ハッカーは「当社のサイバーセキュリティ、市場開拓、および個人に属するごく一部の HPE メールボックスからデータにアクセスし、データを窃取した」事業セグメントおよびその他の機能」と同社はSECへの提出書類に書いている。 HP Enterpriseは、この侵害は、2023年6月に発見された別のインシデントの結果として発生した可能性が高いと述べ、このインシデントでは、Midnight Blizzardも2023年5月から社内の「SharePoint」ファイルにアクセスし、流出していたという。SharePointは、非常に標的を絞って作られたクラウドコラボレーションプラットフォームである。 Microsoft 365 と統合された Microsoft による。
「アクセスされるデータは、HPEユーザーの電子メールボックスに含まれる情報に限定されます」とHP Enterpriseの広報担当者アダム・バウアー氏は声明で『WIRED』に語った。 「私たちはこれらのメールボックスの調査と分析を継続して、アクセスされた可能性のある情報を特定し、必要に応じて適切な通知を行います。」
一方、マイクロソフトは、 言った 金曜日には、2023年11月の侵害に関連したシステム侵入を1月12日に検出したと発表した。 攻撃者は、歴史的な Microsoft システム テスト アカウントの一部を標的にして侵害し、「当社の上級幹部チームのメンバーやサイバーセキュリティ、法務、その他の部門の従業員を含む、Microsoft 企業の電子メール アカウントのごく一部」へのアクセスを許可しました。 そこからグループは「一部の電子メールと添付文書」を抜き出すことができました。 Microsoftは開示の中で、攻撃者はMicrosoftの調査に関する情報とMidnight Blizzard自体の知識を求めているようだと指摘した。
「この攻撃はマイクロソフトの製品やサービスの脆弱性が原因ではありませんでした。 現在までのところ、攻撃者が顧客環境、実稼働システム、ソースコード、または AI システムにアクセスしたという証拠はありません」と同社は開示文書に書いています。 「この攻撃は、Midnight Blizzard のような豊富なリソースを持つ国家の脅威アクターによって、すべての組織に継続的なリスクがもたらされることを浮き彫りにしています。」