Microsoft en Hewlett-Packard Enterprise (HPE) hebben onlangs bekendgemaakt dat zij te maken hebben gehad met een zakelijke e-mailinbreuk door de Russische ‘Midnight Blizzard’-hackers.
De groep, die banden heeft met de buitenlandse inlichtingendienst SVR van het Kremlin, is specifiek verbonden met APT 29 Cosy Bear van SVR, een bende die zich bemoeide met de Amerikaanse presidentsverkiezingen van 2016, die jarenlang overal ter wereld agressieve overheids- en bedrijfsspionage heeft gepleegd, en zit achter de beruchte SolarWinds supply chain-aanval in 2021. Hoewel de inbreuken van zowel HP als Microsoft binnen enkele dagen aan het licht kwamen, illustreert de situatie grotendeels de voortdurende realiteit van de internationale spionageactiviteiten van Midnight Blizzard en de moeite die het zal doen om zwakke punten in de digitale verdediging van organisaties.
“We moeten niet verbaasd zijn dat bedreigingsactoren, ondersteund door de Russische inlichtingendiensten, en in het bijzonder de SVR, zich richten op technologiebedrijven als Microsoft en HPE. Bij organisaties van die omvang zou het een veel grotere verrassing zijn om te ontdekken dat dit niet het geval is”, zegt Jake Williams, een voormalige hacker voor de Amerikaanse National Security Agency en huidig faculteitslid van het Institute for Applied Network Security.
HP Enterprise zei woensdag in een aanvraag bij de Amerikaanse Securities and Exchange Commission dat Midnight Blizzard vorig jaar toegang kreeg tot zijn “cloudgebaseerde e-mailomgeving”. Het bedrijf werd voor het eerst op de hoogte van de situatie op 12 december 2023, maar zei dat de aanval in mei 2023 begon. Hackers “hebben toegang gekregen tot gegevens en hebben deze geëxfiltreerd … uit een klein percentage van de HPE-mailboxen die toebehoren aan individuen in onze cyberbeveiliging, die naar de markt gaan, segmenten en andere functies”, schreef het bedrijf in een SEC-aanvraag. HP Enterprise zei dat de inbreuk waarschijnlijk het gevolg was van een ander incident, ontdekt in juni 2023, waarbij Midnight Blizzard vanaf mei 2023 ook toegang kreeg tot de “SharePoint” -bestanden van het bedrijf en deze exfiltreerde. SharePoint is een veelgericht cloud-samenwerkingsplatform gemaakt door Microsoft dat integreert met Microsoft 365.
“De toegankelijke gegevens zijn beperkt tot informatie in de e-mailinboxen van HPE-klanten”, zei HP Enterprise-woordvoerder Adam Bauer in een verklaring aan WIRED. “We blijven deze mailboxen onderzoeken en analyseren om de informatie te identificeren waartoe mogelijk toegang is verkregen en zullen indien nodig passende meldingen sturen.”
Ondertussen zei Microsoft vrijdag dat het een inbraak van 12 januari had ontdekt die verband hield met de inbreuk van november 2023. De aanvallers richtten zich op enkele historische Microsoft-systeemtestaccounts en compromitterden ze, waardoor ze toegang kregen tot “een zeer klein percentage van de zakelijke e-mailaccounts van Microsoft, inclusief leden van ons senior management en medewerkers in onze cyberbeveiligings-, juridische en andere functies.” Van daaruit kon de groep “enkele e-mails en bijgevoegde documenten” exfiltreren. Microsoft zei in zijn openbaarmaking dat de aanvallers informatie lijken te zoeken over het onderzoek van Microsoft en kennis over Midnight Blizzard zelf.
“De aanval was niet het gevolg van een kwetsbaarheid in Microsoft-producten of -diensten. Tot op heden is er geen bewijs dat de bedreigingsacteur enige toegang had tot de gebruikersomgeving, productiesystemen, broncode of AI-systemen”, schreef het bedrijf in zijn openbaarmaking. “Deze aanval benadrukt het voortdurende risico voor alle organisaties van goed uitgeruste nationale dreigingsactoren zoals Midnight Blizzard.”