Il 12 gennaio 2024 Microsoft ha rilevato un attacco informatico di matrice statale ai propri sistemi aziendali. L’attacco è stato condotto dal gruppo di hacker russo noto come Midnight Blizzard. Nei giorni successivi, l’azienda ha provveduto a contrastare l’attacco hacker, indagare sull’incidente e condividere alcuni dettagli con il pubblico, nell’ambito della propria politica di trasparenza in materia di sicurezza informatica.
Analizziamo più nel dettaglio quanto accaduto sulla base delle informazioni rese disponibili da Microsoft.
Obiettivi e modalità dell’attacco hacker
Stando a quanto ricostruito dal team di sicurezza di Microsoft, già da qualche mese gli hacker di Midnight Blizzard hanno cercato di penetrare il sistema. Midnight Blizzard ha utilizzato tecniche sofisticate, tra cui attacchi di ingegneria sociale e il cosiddetto “password spraying”, un metodo che sfrutta strumenti automatizzati per testare una serie di password comuni contro numerosi account, nella speranza di ottenere accesso non autorizzato. Con questo metodo, sono riusciti a violare un account di test legacy non produttivo. In questo modo hanno ottenuto un primo accesso al sistema.
In seguito hanno sfruttato le autorizzazioni di tale account per penetrare una piccola parte delle caselle di posta elettronica aziendali. Tra queste, anche quelle di alcuni dirigenti e dipendenti dei reparti legali e sicurezza.
Gli hacker non sembravano interessati ad ottenere dati commerciali o produttivi. Stavano esplicitamente cercando informazioni sul gruppo Midnight Blizzard stesso. L’obiettivo principale era dunque capire cosa Microsoft sapesse su di loro e sulle loro attività di cybercrime.
Le reazioni di Microsoft all’attacco hacker
L’azienda di Redmond ha subito avviato un’indagine interna ed esterna, collaborando con le forze dell’ordine. E’ tuttora impegnata ad analizzare l’incidente per raccogliere prove utili e definire le azioni di miglioramento. Al momento non risultano accessi ai sistemi dei clienti o fuoriuscite di codice.
Anche sulla base di questo attacco, Microsoft intende accelerare ulteriormente i propri sforzi in materia di sicurezza informatica. Gruppi come Midnight Blizzard rappresentano una minaccia costante e ben finanziata da molte organizzazioni.
In seguito all’attacco Microsoft ha rafforzato i propri strumenti di difesa come Microsoft Defender per endpoint, Defender per app cloud e Azure Active Directory. Inoltre l’azienda applicherà i propri standard di protezione anche ai sistemi legacy interni.
Chi sono i Midnight Blizzard
L’organizzazione dietro questo attacco, Midnight Blizzard, si ritiene che sia affiliata al governo russo. Nota anche come APT29 o Cozy Bear, è stata in passato responsabile di numerose campagne di cyberspionaggio ai danni di obiettivi governativi e aziendali. Tra gli attacchi più celebri ci sono quelli contro SolarWinds.
L’attacco a SolarWinds
Nel 2020, SolarWinds è stata al centro di uno dei più grandi attacchi informatici del 21° secolo. Gli hacker, sospettati di essere legati al gruppo Midnight Blizzard, hanno compromesso i sistemi e i dati di migliaia di clienti SolarWinds attraverso un attacco alla catena di fornitura che coinvolgeva il software Orion.
Gli hacker sono riusciti a nascondere una backdoor negli aggiornamenti legittimi della piattaforma Orion. In seguito è stata diffusa ai clienti attraverso il normale processo di aggiornamento della piattaforma. SolarWinds stimò che quasi 18.000 dei suoi clienti ricevettero un aggiornamento software compromesso. L’attacco ebbe un impatto significativo su migliaia di organizzazioni pubbliche e private, tra cui il governo degli Stati Uniti.
Le attività di Midnight Blizzard sono state tracciate a partire dall’inizio del 2018. Si concentrano principalmente su obiettivi ad alto profilo. Riguardano governi, entità diplomatiche, organizzazioni non governative (ONG), fornitori di servizi IT e l’industria della difesa. La zona d’interesse è soprattutto negli Stati Uniti e in Europa.
Tecniche di attacco
Le tecniche utilizzate da Midnight Blizzard includono attacchi di ingegneria sociale, in particolare attraverso l’uso di piattaforme come Microsoft Teams, per rubare credenziali e compromettere la sicurezza delle comunicazioni. Midnight Blizzard è stato individuato spesso mentre utilizzava domini compromessi per inviare messaggi su Teams, cercando di acquisire le credenziali delle organizzazioni bersaglio.
Il gruppo utilizza metodi come il furto di token, spear-phishing, password spraying già citato sopra, brute force attacks e altri tipi di attacchi alle credenziali. Una delle tattiche osservate nelle loro attività include l’utilizzo di nomi di dominio con tematiche di sicurezza nelle campagne di phishing, sfruttando i tenant di Microsoft 365 di piccole imprese per condurre operazioni di ingegneria sociale.
Conclusioni
L’episodio messo in luce da Microsoft evidenzia come anche le più grandi aziende tecnologiche siano potenzialmente prese di mira da gruppi ostili ben addestrati e finanziati da governi stranieri. Sebbene la minaccia portata da Midnight Blizzard sia stata contenuta e sembra che non abbia provocato danni rilevanti, l’incidente ha spinto Microsoft ad accelerare i propri investimenti nella sicurezza interna, riconoscendo come il tradizionale approccio non sia più adeguato.
