Russische staatshackers zijn erin geslaagd om toegang te krijgen tot meerdere zakelijke e-mailaccounts van hooggeplaatste medewerkers. De aanvallers waren op zoek naar informatie over zichzelf. Werknemers die het doelwit waren van de hackers zijn inmiddels op de hoogte gebracht van het voorval.
Microsoft bevestigt de hack in een weblog.
Hackers zochten informatie over zichzelf
De hack vond eind november 2023 plaats, maar werd vorige week pas opgemerkt. De daders slaagden erin om een testaccount binnen te dringen. Vervolgens gebruikten ze de machtigingen van de account om “een zeer klein percentage” van zakelijke e-mailaccounts van Microsoft-medewerkers te bekijken. De accounts waren van leden van het senior leadership team en werknemers van onder meer de cybersecurity- en juridische afdeling.
De aanvallers hadden toegang tot e-mails en documenten die als bijlage werden verstuurd. “Uit het onderzoek blijkt dat ze het in eerste instantie gemunt hadden op e-mailaccounts voor informatie met betrekking tot Midnight Blizzard zelf. We zijn bezig om de medewerkers van wie de e-mail is benaderd op de hoogte te stellen”, zo schrijft Microsoft.
Toen de digitale inbraak aan het licht kwam, heeft Microsoft direct maatregelen genomen om verdere schade te voorkomen en de hackers buiten te sluiten.
Hackers gebruikten password spraying om account te infiltreren
De aanval was volgens Microsoft niet het gevolg van een kwetsbaarheid in producten of diensten van het Amerikaanse technologiebedrijf. De hackers maakten gebruik van een techniek die bekendstaat als password spraying.
Bij password spraying probeert een hacker een account over te nemen door veelgebruikte wachtwoorden in te voeren. Om ervoor te zorgen dat hij niet wordt betrapt, probeert hij hetzelfde wachtwoord bij meerdere accounts. Als blijkt dat dit wachtwoord bij geen enkele account werkt, dan gaat de aanvaller over op een tweede wachtwoord. Werkt ook dit niet, dan volgt een derde wachtwoord, enzovoorts, totdat er een match is. Door op deze manier te werk te gaan, voorkomt de dader dat een account wordt geblokkeerd en hij niet wordt opgemerkt.
“Tot op heden is er geen bewijs dat de dader toegang had tot klantomgevingen, productiesystemen, broncode of AI-systemen. We zullen klanten op de hoogte stellen als er actie moet worden ondernomen”, aldus Microsoft.
Russische hackers verantwoordelijk voor hack
Volgens Microsoft is Midnight Blizzard verantwoordelijk voor de hack. Midnight Blizzard -ook wel bekend onder de naam Nobelium- is een Russische hackersgroep die volgens Amerikaanse en Britse inlichtingendiensten banden heeft met de Russische militaire dienst GRU. Deze groep was in 2020 verantwoordelijk voor de supply chain attack op SolarWinds.
