近日,Microsoft发出警报,称国家支持的俄罗斯黑客闯入其公司电子邮件系统,并访问了该公司领导团队成员以及网络安全和法律员工的账户。该事件于2024年1月12日被发现,Microsoft已立即对安全漏洞展开调查,并通知了执法部门和相关监管机构。
1月12日,Microsoft公司检测到,从2023年11月下旬开始,一个国家级的威胁行为者在初步分析的基础上访问并泄露了该公司高级领导团队成员以及网络安全、法律和其他职能部门员工的电子邮件账户的信息。
该公司将这次攻击归咎于俄罗斯网络间谍组织午夜暴雪。午夜暴雪(又名APT29、SVR集团、Cozy Bear、Nobelium、BlueBravo和The Dukes)和APT28网络间谍组织曾共同参与民主党全国委员会的黑客攻击和针对2016年美国总统大选的攻击。该组织以SolarWinds供应链攻击而闻名,此攻击在2020年袭击了包括Microsoft在内的1.8万多个组织。
俄罗斯支持的黑客于2023年11月下旬首次通过密码喷射攻击入侵了公司系统。密码喷射是一种暴力攻击,攻击者根据应用程序上具有默认密码的用户名列表进行暴力登录。在此攻击场景中,威胁参与者对应用程序上的许多不同账户使用一个密码,以避免在暴力破解具有多个密码的单个账户时通常会触发的账户锁定。
Microsoft透露,威胁参与者获得了对旧版非生产测试租户账户的访问权限,并使用该账户的权限访问了部分Microsoft公司电子邮件账户。攻击者获得了公司高级领导团队成员以及网络安全、法律和其他职能部门员工的账户。
该公司还证实,攻击者已经泄露了一些电子邮件和附件。Microsoft正在通知受影响的员工。
Microsoft在声明中表示,这次攻击不是Microsoft产品或服务漏洞所致。Microsoft补充道,没有证据表明威胁行为者可以访问客户环境、生产系统、源代码或人工智能系统。
在提交给美国证券交易委员会的8-K表格中,Microsoft表示,该违规行为并未对公司的运营产生重大影响。然而,该事件是否对公司财务状况或经营业绩产生影响尚未得到确认。
此次攻击凸显了资源丰富的国家威胁行为者对组织构成的持续威胁。国家机构和企业单位应积极利用多重身份验证、强密码、验证码、IP速率限制、账户锁定、日志监控等技术手段进行防护。
