Meses antes de que el actor de amenazas ruso “Midnight Blizzard” accediera y extrajera datos de cuentas de correo electrónico pertenecientes a altos directivos de Microsoft en noviembre pasado, el grupo ya había hecho lo mismo en Hewlett-Packard Enterprise (HPE).
Una nueva encuesta Presentación del formulario 8-K SEC del 19 de enero muestra que Midnight Blizzard, también conocido como Nobelium, Cozy Bear y APT29, violó el entorno de correo electrónico alojado en la nube de HPE, en algún momento de mayo de 2023. Los atacantes exfiltraron datos de cuentas pertenecientes a lo que, según la compañía, era un pequeño número de personas en los segmentos de ciberseguridad, marketing, negocios y otros de la empresa.
HPE dijo que se enteró de la intrusión el 12 de diciembre de 2023 y desde entonces ha estado trabajando con expertos externos en ciberseguridad para determinar el alcance total y el cronograma exacto del ataque. "La compañía ahora entiende que este incidente probablemente esté relacionado con una actividad anterior de este actor de amenazas, del cual fuimos notificados en junio de 2023, que involucra acceso no autorizado y exfiltración de un número limitado de archivos de SharePoint ya en mayo de 2023", dice la presentación de HPE. .
Microsoft reveló una infracción similar la semana pasada
La noticia de la presentación de HPE ante la SEC llega pocos días después de que Microsoft revelara en una publicación de blog la semana pasada que había detectado un Ataque de Midnight Blizzard a sus sistemas corporativos el 12 de enero. La compañía dijo que su investigación mostró que el atacante probablemente había violado sus sistemas en noviembre de 2023 y desde entonces ha estado extrayendo información de cuentas de correo electrónico pertenecientes a altos directivos y empleados en funciones legales, de ciberseguridad y de otro tipo.
Midnight Blizzard obtuvo acceso inicial a la red corporativa de Microsoft mediante el uso de un ataque de pulverización de contraseña común para violar una cuenta de prueba heredada que no es de producción. Luego, el actor de amenazas utilizó los permisos de esa cuenta para acceder a cuentas de correo electrónico de interés en Microsoft. “La investigación indica que inicialmente apuntaban a cuentas de correo electrónico en busca de información relacionada con Midnight Blizzard. Estamos en el proceso de notificar a los empleados cuyo correo electrónico fue accedido”, según la publicación del blog de Microsoft.
Microsoft ha prometido renovar sus protocolos de seguridad, especialmente los que involucran a sus sistemas heredados, después del incidente.
Una peligrosa amenaza patrocinada por el Estado
Los ataques han centrado nueva atención en Midnight Blizzard, un actor de amenazas que el gobierno de Estados Unidos ha vinculado formalmente con el Servicio de Inteligencia Exterior de Rusia (SVR). En abril de 2021, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., el FBI y la Agencia de Seguridad Nacional identificaron al actor de amenazas como responsable de irrumpiendo en el entorno de construcción de SolarWinds y colocar malware en una actualización de software legítima que muchos clientes terminaron descargando en sus sistemas. SolarWinds detectó y anunció la infracción en diciembre de 2020, aunque la infracción real ocurrió en septiembre de 2019, con actividad de sondeo inicial a partir de enero de 2019.
Esa intrusión marcó un enfoque más amplio para el actor de amenazas, que ha estado operativo desde aproximadamente 2009. Muchas de sus campañas iniciales se centraron en la recopilación de inteligencia política. Entre los más notables estuvieron sus ataques a la Comité Nacional Demócrata (DNC) en 2015 y una ola de ataques contra Los gobiernos de la UE, los think tanks de la OTAN, y otros en 2019.
Pero como señaló CISA en un 2023 de diciembre aviso, desde 2018, y especialmente después de SolarWinds, Midnight Blizzard/SVR también se ha centrado en gran medida en empresas de tecnología. Muchas de sus campañas han involucrado lo que CISA ha descrito como pulverización de contraseñas “baja y lenta” y ataques contra vulnerabilidades en ciertos productos ampliamente utilizados. Algunas de las fallas que el grupo ha explotado comúnmente incluyen CVE-2018-13379 en dispositivos Fortinet; CVE-2019-9670 en Zimbra, CVE-2019-11510 en Pulse Secure VPN, CVE-2019-1978 en Citrix y CVE-2020-4006 que afecta a VMware.
Amplia orientación de la vulnerabilidad TeamCity de JetBrains
En su aviso de diciembre, CISA agregó CVE-2023-42793, una vulnerabilidad de omisión de autenticación en JetBrains TeamCity, a la lista de fallas que el grupo ha estado atacando agresivamente en los últimos meses. CISA advirtió sobre cómo el acceso a un servidor TeamCity proporcionaría al actor de amenazas acceso al código fuente, firma de certificados y la capacidad de alterar los procesos de compilación e implementación de software. Al optar por explotar CVE-2023-42793, “SVR podría beneficiarse del acceso a las víctimas, particularmente al permitir que los actores de amenazas comprometan las redes de docenas de desarrolladores de software”, señala el aviso.
Al menos en el momento del aviso de CISA, SVR/Midnight Blizzard no había utilizado el acceso proporcionado por TeamCity CVE para realizar un ataque similar a SolarWinds. Pero el actor de amenazas está utilizando la vulnerabilidad para escalar privilegios, moverse lateralmente, desplegar cargas útiles adicionales y establecer persistencia, advirtió CISA.
"En este momento particular, los expertos y líderes de opinión de la industria de la ciberseguridad han estado planteando una variedad de opiniones sobre lo que motiva a Midnight Blizzard a llevar a cabo estos ataques dirigidos", dijo Yossi Rachman, director senior de investigación de seguridad de Semperis. "Actualmente, es muy probable que estén en una misión de recopilación de información para obtener cualquier información que los profesionales de seguridad de HP y Microsoft tengan sobre los grupos de ataque respaldados por Rusia y los esfuerzos ciberofensivos rusos en su conjunto".
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/threat-intelligence/midnight-blizzard-breached-hpe-email-before-microsoft-hack
