كشفت شركة مايكروسوفت خلال عطلة نهاية الأسبوع أن أنظمتها قد تم اختراقها في نهاية عام 2023 من قبل Midnight Blizzard، وهم نفس المتسللين المدعومين من الكرملين الذين قاموا باختراق منصة SolarWinds Orion في عام 2023. حادثة Sunburst / Solorigate سيئة السمعة قبل ثلاث سنوات تقريبًا، فيما يبدو أنه كان بمثابة عملية منسقة وموجهة لجمع المعلومات.
في إعلان نشر في وقت متأخر يوم الجمعة 19 يناير 2024وقالت مايكروسوفت إنها اكتشفت الهجوم في 12 يناير وتمكنت على الفور من تفعيل عمليات الاستجابة للحوادث الداخلية لتعطيله وإخراج المتسللين من أنظمتها.
في الأسبوعين الماضيين، توصلت تحقيقاتها إلى أن Midnight Blizzard تمكنت من الوصول إلى حساب مستأجر قديم غير إنتاجي عبر هجوم رش كلمة المرور – نوع من أساليب القوة الغاشمة حيث يقوم ممثلو التهديد بتدوير عدد كبير من أسماء المستخدمين وبيانات الاعتماد المحتملة من خلال النظام المستهدف حتى يحالفهم الحظ ويجدون تطابقًا.
ومن هناك، استخدم المهاجمون الأذونات المرتفعة للحساب لاستهداف حسابات البريد الإلكتروني لشركة Microsoft التابعة للقيادة العليا والموظفين في الأمن السيبراني والوظائف القانونية. تم أخذ بعض رسائل البريد الإلكتروني والمستندات.
وقالت مايكروسوفت في بيان: “يشير التحقيق إلى أنهم كانوا يستهدفون في البداية حسابات البريد الإلكتروني للحصول على معلومات تتعلق بـ Midnight Blizzard نفسها”. “نحن بصدد إخطار الموظفين الذين تم الوصول إلى بريدهم الإلكتروني.”
تعد Midnight Blizzard واحدة من أكثر عمليات التهديد المستمر المتقدم (APT) التي تديرها الدولة الروسية نشاطًا. لقد أطلق عليه سابقًا لقب نوبليوم قبل إجراء تعديل على تصنيف التهديدات الخاص بمايكروسوفت، لكن باحثين آخرين أطلقوا عليه الأسماء APT29، وUNC2452، وربما الأكثر شهرة، الدب المريح.
وقالت الشركة: “لم يكن الهجوم نتيجة لثغرة أمنية في منتجات أو خدمات مايكروسوفت”. “حتى الآن، لا يوجد دليل على أن جهة التهديد لديها أي إمكانية الوصول إلى بيئات العملاء، أو أنظمة الإنتاج، أو كود المصدر، أو الذكاء الاصطناعي. [artificial intelligence] أنظمة. وسوف نقوم بإخطار العملاء إذا كان هناك حاجة إلى أي إجراء. يسلط هذا الهجوم الضوء على الخطر المستمر الذي تتعرض له جميع المنظمات من قبل جهات تهديد الدولة القومية ذات الموارد الجيدة مثل Midnight Blizzard.
وقالت مايكروسوفت إن الحادث يسلط الضوء على الحاجة إلى التحرك بشكل أسرع لتحقيق توازن داخلي أفضل بين الأمن والمخاطر التي تهدد أعمالها، وتعهدت بالمضي قدمًا في تطبيق معايير أكثر صرامة على نفسها، حتى عندما يكون القيام بذلك مشكلة بالنسبة لبعض العمليات.
وقالت مايكروسوفت: “نحن نواصل تحقيقنا وسنتخذ إجراءات إضافية بناءً على نتائج هذا التحقيق، وسنواصل العمل مع سلطات إنفاذ القانون والجهات التنظيمية المناسبة”. “نحن ملتزمون بشدة بمشاركة المزيد من المعلومات وتعلمنا، حتى يتمكن المجتمع من الاستفادة من خبرتنا وملاحظاتنا حول جهة التهديد. وسنقدم تفاصيل إضافية حسب الاقتضاء.”
التعقيدات المتطورة
إكسابيم وقال تايلر فارار، كبير مسؤولي أمن المعلومات، إن الحادث سلط الضوء على التعقيدات المتطورة المتأصلة في الأمن السيبراني. وقال: “لقد استفاد المهاجمون من المسار الأقل مقاومة، مستغلين حسابًا قديمًا غير إنتاجي، مما يؤكد المفهوم الذي غالبًا ما يتم التغاضي عنه المتمثل في الثغرات الأمنية الكامنة داخل المؤسسات”. “إن دقة نقاط الضعف هذه تتطلب اتباع نهج يقظ… في العمليات الأمنية.”
“مايكروسوفت’إن استجابة الشركة للانتهاك، والتي تتماشى مع أحدث لوائح الإفصاح الصادرة عن هيئة الأوراق المالية والبورصات، تؤكد على أهمية الشفافية والتحرك السريع في حوادث الأمن السيبراني. “كما أنه يسلط الضوء على ضرورة قيام المؤسسات بفحص البنية التحتية الرقمية الخاصة بها بشكل مستمر بحثًا عن أي “ديون تهديد” محتملة – وهو مصطلح يشمل المخاطر المرتبطة بنقاط الضعف الخاملة التي لم تتم معالجتها.”
باعتبارها جهة فاعلة واضحة للغاية، لا ينبغي أن يكون مفاجئًا أن نرى مايكروسوفت مستهدفة من قبل الدول القومية التي تسعى إلى سرقة بياناتها وملكيتها الفكرية، وقاعدة عملائها الواسعة. وفي الواقع، هذا ليس الحادث الأول من نوعه الذي يصيب عملاق التكنولوجيا.
الصيف الماضي، ريدموند واجهت أسئلة من المسؤولين الحكوميين الأمريكيين بعد الكشف عن أن مجموعة صينية تعرف باسم Storm-0558 تمكنت من الوصول إلى حسابات البريد الإلكتروني الفيدرالية باستخدام رموز المصادقة المزورة عبر مفتاح توقيع عميل حساب Microsoft مسروق.
