微软称俄罗斯黑客攻陷其系统并访问源代码

1月份，微软披露称 Midnight Blizzard（即 NOBELIUM）在实施密码喷射攻击后获得访问遗留的非生产测试租户账号，攻陷了企业邮件服务器。随后微软又在另外一篇博客文章中提到，该测试账号启用了多因素认证机制，从而使攻击者获得访问权限，从而攻陷微软系统。

这个租户账号还通过对微软企业环境的提升访问权限，访问了一款OAuth 应用，从而使攻击者访问并从企业邮箱窃取数据，包括微软领导层成员以及网络安全和法务部门员工等的邮箱。

微软认为，威胁行动者攻破了其中一些邮件账号，了解微软对它的掌握情况。

微软在今天提到，Midnight Blizzard 使用被盗数据中发现的机密，在最近几周访问了公司的一些系统和源代码仓库中。微软安全响应中心发布博客文章指出，“最近几周，我们发现 Midnight Blizzard 正在利用此前从企业邮件系统重提取的信息获得或尝试获取越权访问权限。其中包括对公司一些源代码仓库和内部系统的访问权限。截至目前，我们尚未发现微软托管的面向客户的系统被攻陷。”

虽然微软并未详细解释这些“机密”的内容，但可能包括认证令牌、API密钥或凭据。微软指出已开始练习机密被暴露的客户，他们的机密在被盗的与微软的邮件往来中遭暴露。

微软认为，“显然 Midnight Blizzard 试图利用它所发现的不同类型的机密。其中一些机密在客户与微软的邮件中共享，而且当我们在被渗透的邮件中发现这些机密时，我们已经并正在接触这些客户，以协助他们采取缓解措施。”

微软指出，Midnight Blizzard 还增强了对目标系统的密码喷射攻击，与2024年1月所看到的攻击规模来比，2月份的攻击数量增长了10倍。密码喷射是一种暴力攻击，威胁行动者收集潜在的登录名称清单，之后尝试使用可能的密码清单登录所有账号。如果一个密码失败，则会通过其它密码进行尝试，直到所有密码全部尝试完毕或者直到账号被成功攻陷。为此，企业必须在所有账号上配置多因素认证机制以阻止访问，即使这些凭据被正确猜出也不会受陷。

微软在向证券交易所提交的 8-K 表单中表示，已经在公司内部提升了安全性，免遭APT组织攻击，“我们已经加大了安全投资、跨企业协调和动员，并提升了我们的防御能力、加固了环境对该APT组织的抗击能力。我们将继续与联邦执法部门协作，开展对该威胁组织及事件的调查工作。”

Midnight Blizzard （即 Nobelium、APT29和Cozy Bear）是与俄罗斯外国情报局 (SVR) 存在关联的国家黑客组织。

该黑客组织在2020年发动 SolarWinds 供应链攻击后名声大噪，他们借此攻陷很多企业，包括微软在内。微软随后证实称，该攻击使 Midnight Blizzard 窃取了数量有限的 Azure、Intune和Exchange 组件的源代码。2021年6月，该黑客组织再次攻陷微软的一个企业账号，访问客户支持工具。之后，它对北约和欧盟国家的大使馆和政府机构展开网络间谍攻击。除此以外，该黑客组织还应开发自定义软件而为人所知。