Microsoft y Hewlett-Packard Enterprise (HPE) revelaron recientemente que sufrieron violaciones de correo electrónico corporativo a manos de los piratas informáticos rusos “Midnight Blizzard”.
El grupo, que está vinculado a la inteligencia exterior SVR del Kremlin, está específicamente vinculado a APT 29 Cozy Bear de SVR, la pandilla que se entrometió en las elecciones presidenciales de Estados Unidos de 2016, ha llevado a cabo un agresivo espionaje gubernamental y corporativo en todo el mundo durante años, y fue detrás del infame ataque a la cadena de suministro de SolarWinds de 2021. Si bien las infracciones de HP y Microsoft salieron a la luz con unos días de diferencia, la situación ilustra principalmente la realidad actual de las actividades de espionaje internacional de Midnight Blizzard y hasta dónde llegará para encontrar debilidades en las defensas digitales de las organizaciones.
“No debería sorprendernos que los actores de amenazas respaldados por la inteligencia rusa, y SVR en particular, estén apuntando a empresas tecnológicas como Microsoft y HPE. Con organizaciones de ese tamaño, sería una sorpresa mucho mayor saber que no lo son”, dice Jake Williams, ex hacker de la Agencia de Seguridad Nacional de EE. UU. y actual miembro del cuerpo docente del Instituto de Seguridad Aplicada de Redes.
HP Enterprise dijo en una presentación a la Comisión de Bolsa y Valores de EE. UU. publicada el miércoles que Midnight Blizzard obtuvo acceso a su “entorno de correo electrónico basado en la nube” el año pasado. La compañía se enteró de la situación por primera vez el 12 de diciembre de 2023, pero dijo que el ataque comenzó en mayo de 2023. Los piratas informáticos “accedieron y extrajeron datos… de un pequeño porcentaje de buzones de correo de HPE que pertenecen a personas de nuestra ciberseguridad, comercialización, segmentos comerciales y otras funciones”, escribió la compañía en la presentación ante la SEC. HP Enterprise dijo que la infracción probablemente se produjo como resultado de otro incidente, descubierto en junio de 2023, en el que Midnight Blizzard también accedió y exfiltró archivos «SharePoint» de la empresa a partir de mayo de 2023. SharePoint es una plataforma de colaboración en la nube muy específica creada de Microsoft que se integra con Microsoft 365.
«Los datos a los que se accede se limitan a la información contenida en los buzones de correo electrónico de los usuarios de HPE», dijo a WIRED el portavoz de HP Enterprise, Adam Bauer. «Continuamos investigando y analizando estos buzones de correo para identificar información a la que se podría haber accedido y haremos las notificaciones apropiadas según sea necesario».
Mientras tanto, Microsoft dijo el viernes que detectó una intrusión en el sistema el 12 de enero vinculada a una infracción de noviembre de 2023. Los atacantes atacaron y comprometieron algunas cuentas históricas de prueba del sistema de Microsoft que luego les permitieron acceder a «un porcentaje muy pequeño de cuentas de correo electrónico corporativas de Microsoft, incluidos miembros de nuestro equipo de liderazgo senior y empleados en nuestras funciones legales, de ciberseguridad y de otro tipo». De allí el grupo pudo extraer “algunos correos electrónicos y documentos adjuntos”. Microsoft señaló en su divulgación que los atacantes parecían estar buscando información sobre las investigaciones de Microsoft y el conocimiento de Midnight Blizzard.
“El ataque no fue el resultado de una vulnerabilidad en los productos o servicios de Microsoft. Hasta la fecha, no hay evidencia de que el actor de la amenaza tuviera acceso a los entornos de los clientes, sistemas de producción, código fuente o sistemas de inteligencia artificial”, escribió la compañía en su divulgación. «Este ataque resalta el riesgo continuo que representan para todas las organizaciones los actores de amenazas de estados-nación con buenos recursos como Midnight Blizzard».