Hackers apoiados pela Rússia invadiram o sistema de e-mail corporativo da Microsoft e acessaram as contas de membros da equipe de liderança da empresa, bem como de funcionários de suas equipes jurídica e de segurança cibernética, afirmou a empresa na sexta-feira, 19.
Em uma postagem de blog, a Microsoft disse que a invasão começou no final de novembro e foi descoberta em 12 de janeiro. A empresa afirmou que a mesma equipe de hackers russos altamente qualificada e que estava por trás da violação da SolarWinds foi a responsável.
“Uma porcentagem muito pequena” de contas corporativas da Microsoft foi acessada, disse a empresa, e alguns e-mails e documentos anexados foram roubados.
LEIA TAMBÉM
Um porta-voz da empresa disse que a Microsoft não tinha comentários imediatos sobre quais ou quantos membros de sua liderança sênior tiveram suas contas de e-mail violadas. Em um documento regulatório de sexta-feira, a Microsoft disse que conseguiu remover o acesso dos hackers às contas comprometidas por volta de 13 de janeiro.
“Estamos no processo de notificar os funcionários cujos e-mails foram acessados”, disse a Microsoft, acrescentando que sua investigação indica que os hackers inicialmente visavam contas de e-mail com informações relacionadas às suas próprias atividades.
Nova regra do órgão regulador
A divulgação da Microsoft ocorre um mês após a entrada em vigor de uma nova regra da Securities and Exchange Commission (SEC), o órgão regulador do mercado de capitais nos EUA, que obriga as empresas de capital aberto a divulgar violações que possam impactar negativamente seus negócios. A medida dá prazo de quatro dias para a divulgação, a menos que a empresa obtenha uma isenção de segurança nacional.
No documento regulatório da SEC de sexta-feira, a Microsoft disse que “até a data deste documento, o incidente não teve um impacto material” em suas operações. A empresa acrescentou que, no entanto, não “determinou se o incidente tem probabilidade razoável de impactar materialmente” as suas finanças.
A Microsoft, com sede em Redmond, Washington, disse que os hackers da agência de inteligência estrangeira SVR, da Rússia, conseguiram obter acesso comprometendo credenciais em uma conta de teste de “legado”, sugerindo que ela tinha código desatualizado. Depois de se firmarem, eles usaram as permissões da conta para acessar as contas da equipe de liderança sênior e outros. A técnica de ataque de força bruta usada pelos hackers é chamada de “password spraying”. O autor da ameaça usa uma única senha comum para tentar fazer login em várias contas.
Em uma publicação de blog de agosto, a Microsoft descreveu como sua equipe de inteligência de ameaças descobriu que a mesma equipe de hackers russos usou a técnica para tentar roubar credenciais de pelo menos 40 organizações globais diferentes por meio de chats do Microsoft Teams.
“O ataque não foi resultado de uma vulnerabilidade em produtos ou serviços da Microsoft”, disse a empresa no texto. “Até o momento, não há evidências de que o autor da ameaça tenha tido acesso aos ambientes dos clientes, sistemas de produção, código-fonte ou sistemas de IA. Notificaremos os clientes se alguma ação for necessária.”
A Microsoft chama a unidade de hackers de Midnight Blizzard. Antes de renovar a sua nomenclatura de autores de ameaça no ano passado, chamava o grupo de Nobelium. A empresa de segurança cibernética Mandiant, de propriedade do Google, chama o grupo de Cozy Bear.
Em outra publicação de blog, de 2021, a Microsoft chamou a campanha de hackeamento da SolarWinds de “o ataque mais sofisticado da história”. Além das agências governamentais dos EUA, incluindo os departamentos da Justiça e do Tesouro, mais de 100 empresas privadas e think tanks foram comprometidas, incluindo fornecedores de software e telecomunicações.
O foco principal da agência SVR, da Rússia, é a coleta de informações. Ela visa principalmente governos, diplomatas, think tanks e prestadores de serviços de TI nos EUA e na Europa. / AP
