Het logo van Microsoft wordt getoond op het Mobile World Congress 2023 in Barcelona, Spanje, 2 maart 2023. In een blogpost op vrijdag zei Microsoft dat door de staat gesponsorde Russische hackers inbraken in zijn zakelijke e-mailsysteem.
Joan Mateu Parra/AP
onderschrift verbergen
ondertiteling wisselen
Joan Mateu Parra/AP
Het logo van Microsoft wordt getoond op het Mobile World Congress 2023 in Barcelona, Spanje, 2 maart 2023. In een blogpost op vrijdag zei Microsoft dat door de staat gesponsorde Russische hackers inbraken in zijn zakelijke e-mailsysteem.
Joan Mateu Parra/AP
BOSTON – Russische staatsgesteunde hackers hebben ingebroken in het zakelijke e-mailsysteem van Microsoft en hebben toegang gekregen tot de accounts van leden van het managementteam van het bedrijf, evenals tot de accounts van werknemers in de cyberbeveiligings- en juridische teams, zei het bedrijf vrijdag.
In een blogpost zegt Microsoft dat de inbraak eind november begon en op 12 januari werd ontdekt. Hetzelfde zeer bekwame Russische hackteam dat achter de inbreuk op SolarWinds zat, zou verantwoordelijk zijn.
Er werd toegang verkregen tot een “zeer klein percentage” van de Microsoft-bedrijfsaccounts, aldus het bedrijf, en sommige e-mails en bijgevoegde documenten werden gestolen.
Een woordvoerder van het bedrijf zei dat Microsoft geen onmiddellijk commentaar had over bij welke of hoeveel van zijn senior executives hun e-mailaccounts waren gehackt. In een wettelijke aanvraag op vrijdag zei Microsoft dat het op of rond 13 januari de toegang van hackers tot de gecompromitteerde accounts kon verwijderen.
“We zijn bezig met het op de hoogte brengen van medewerkers van wie de e-mails zijn geopend”, aldus Microsoft, eraan toevoegend dat uit het onderzoek blijkt dat de hackers zich in eerste instantie op e-mailaccounts richtten op informatie over hun activiteiten.
De SEC vereist dat bedrijven overtredingen snel openbaar maken
De openbaarmaking van Microsoft komt een maand nadat een nieuwe regel van de Amerikaanse Securities and Exchange Commission van kracht werd die beursgenoteerde bedrijven dwingt inbreuken openbaar te maken die een negatieve impact op hun activiteiten kunnen hebben. Het geeft hen vier dagen de tijd om dit te doen, tenzij ze een ontheffing van de nationale veiligheid krijgen.
In een SEC-registratie op vrijdag zei Microsoft dat “vanaf de datum van deze indiening het incident geen materiële impact heeft gehad” op zijn activiteiten. Hij voegde eraan toe dat hij echter niet “had vastgesteld of er een redelijke kans bestaat dat het incident materiële gevolgen zal hebben” voor zijn financiën.
Microsoft, gevestigd in Redmond, Washington, zei dat hackers van de Russische buitenlandse inlichtingendienst SVR toegang konden krijgen door de inloggegevens van een “verouderd” testaccount te compromitteren, wat suggereert dat het verouderde code bevatte. Toen ze eenmaal voet aan de grond kregen, gebruikten ze accountrechten om toegang te krijgen tot de accounts van het senior management en anderen. De brute force-aanvalstechniek die door hackers wordt gebruikt, wordt “wachtwoordsprayen” genoemd.
Een bedreigingsacteur gebruikt één enkel gemeenschappelijk wachtwoord om te proberen in te loggen op meerdere accounts. In een blog van augustus beschreef Microsoft hoe zijn dreigingsinformatieteam ontdekte dat hetzelfde Russische hackteam de techniek gebruikte om via Microsoft Teams-chats inloggegevens van ten minste 40 verschillende wereldwijde organisaties te stelen.
“De aanval was niet het gevolg van een kwetsbaarheid in Microsoft-producten of -diensten”, aldus het bedrijf in een blogpost. “Tot op heden is er geen bewijs dat de bedreigingsacteur enige toegang had tot de gebruikersomgeving, productiesystemen, broncode of AI-systemen. We zullen klanten op de hoogte stellen als er actie nodig is.”
Microsoft noemt de hackeenheid Midnight Blizzard. Voordat hij vorig jaar zijn nomenclatuur van bedreigingsactoren vernieuwde, noemde hij de groep Nobelium. Cybersecuritybedrijf Mandiant, eigendom van Google, noemt de groep Cosy Bear.
In een blogpost uit 2021 noemde Microsoft de hackcampagne van SolarWinds “de meest geavanceerde aanval op natiestaten in de geschiedenis”. Naast Amerikaanse overheidsinstanties, waaronder de ministeries van Justitie en Financiën, lopen meer dan honderd particuliere bedrijven en denktanks, waaronder software- en telecommunicatieleveranciers, gevaar.
De belangrijkste focus van SVR is het verzamelen van inlichtingen. Het richt zich primair op overheden, diplomaten, denktanks en IT-dienstverleners in de VS en Europa.