Microsoft hôm thứ Sáu tiết lộ rằng nhóm tin tặc được Điện Kremlin hậu thuẫn được gọi là Midnight Blizzard (hay còn gọi là APT29 hoặc Cozy Bear) đã tìm cách truy cập vào một số kho mã nguồn và hệ thống nội bộ của nó sau một vụ hack được đưa ra ánh sáng vào tháng 1 năm 2024.
"Trong những tuần gần đây, chúng tôi đã thấy bằng chứng cho thấy Midnight Blizzard đang sử dụng thông tin ban đầu được trích xuất từ hệ thống email của công ty chúng tôi để đạt được, hoặc cố gắng đạt được, truy cập trái phép", gã khổng lồ công nghệ cho biết.
"Điều này đã bao gồm quyền truy cập vào một số kho mã nguồn và hệ thống nội bộ của công ty. Cho đến nay, chúng tôi không tìm thấy bằng chứng nào cho thấy các hệ thống hướng tới khách hàng do Microsoft lưu trữ đã bị xâm phạm."
Redmond, công ty đang tiếp tục điều tra mức độ vi phạm, cho biết tác nhân đe dọa do nhà nước Nga tài trợ đang cố gắng tận dụng các loại bí mật khác nhau mà họ tìm thấy, bao gồm cả những bí mật được chia sẻ giữa khách hàng và Microsoft trong email.
Tuy nhiên, họ không tiết lộ những bí mật này là gì hoặc quy mô của sự thỏa hiệp, mặc dù họ cho biết họ đã trực tiếp tiếp cận với các khách hàng bị ảnh hưởng. Không rõ mã nguồn nào đã được truy cập.
Nói rằng họ đã tăng cường đầu tư bảo mật, Microsoft lưu ý thêm rằng kẻ thù đã tăng cường các cuộc tấn công lần dò mật khẩu lên tới 10 lần vào tháng Hai, so với "khối lượng vốn đã lớn" được quan sát vào tháng 1.
"Cuộc tấn công đang diễn ra của Midnight Blizzard được đặc trưng bởi một cam kết bền vững, đáng kể về nguồn lực, sự phối hợp và tập trung của tác nhân đe dọa", tuyên bố cho biết.
"Họ có thể đang sử dụng thông tin thu được để tích lũy một bức tranh về các khu vực cần tấn công và tăng cường khả năng làm như vậy. Điều này phản ánh những gì đã trở thành một bối cảnh mối đe dọa toàn cầu chưa từng có, đặc biệt là về các cuộc tấn công tinh vi giữa quốc gia và quốc gia".
Vụ vi phạm của Microsoft được cho là đã xảy ra vào tháng 11/2023, với việc Midnight Blizzard sử dụng một cuộc tấn công dạng xịt mật khẩu để xâm nhập thành công vào tài khoản đối tượng thuê thử nghiệm cũ, phi sản xuất không bật xác thực đa yếu tố (MFA).
Gã khổng lồ công nghệ, vào cuối tháng Giêng, tiết lộ rằng APT29 đã nhắm mục tiêu vào các tổ chức khác bằng cách tận dụng một loạt các phương thức truy cập ban đầu, từ thông tin bị đánh cắp đến các cuộc tấn công chuỗi cung ứng.
Midnight Blizzard được coi là một phần của Cơ quan Tình báo Đối ngoại Nga (SVR). Hoạt động ít nhất từ năm 2008, tác nhân đe dọa là một trong những nhóm hack tinh vi và sung mãn nhất, xâm phạm các mục tiêu cao cấp như SolarWinds.