Gli hacker che hanno orchestrato l’attacco a SolarWinds hanno compromesso il computer di un dipendente Microsoft e hanno utilizzato l’accesso per lanciare attacchi mirati contro i clienti dell’azienda, ha affermato la casa di Redmond in una dichiarazione concisa pubblicata nel tardo pomeriggio di venerdì.
Il gruppo di hacker ha anche compromesso tre entità utilizzando tecniche quali password spray e brutal force, che ottengono l’accesso non autorizzato agli account bombardando i server di accesso con un gran numero di tentativi di accesso. Secondo Microsoft, la campagna di password spray è stata “per lo più senza successo”.
Gli hacker di Nobelium, dopo SolarWinds, prendono di mira ancora Microsoft
La scoperte del nuovo attacco sono arrivate nelle continue indagini di Microsoft su Nobelium, il nome che il colosso tech ha dato al sofisticato gruppo di hacker che ha utilizzato gli aggiornamenti software SolarWinds e altri mezzi per compromettere le reti. Il governo federale ha affermato che Nobelium fa parte del Servizio di sicurezza federale del governo russo.
“Come parte della nostra indagine su questa attività in corso, abbiamo anche rilevato un malware che ruba informazioni da una macchina appartenente a uno dei nostri dipendenti del supporto clienti con accesso alle informazioni di base sull’account di un piccolo numero di nostri clienti”, ha affermato Microsoft in un post . “Gli hacker hanno utilizzato queste informazioni, in alcuni casi, per lanciare attacchi altamente mirati come parte della sua campagna più ampia”.
Microsoft ha affermato che l’attività di password spraying ha preso di mira clienti specifici, con il 57% di questi che sono aziende IT, il 20% organizzazioni governative e il resto organizzazioni non governative, e servizi finanziari. Circa il 4% dell’attività si è concentrato sugli interessi degli Stati Uniti, il 10% si è rivolto a clienti del Regno Unito e un numero inferiore si è concentrato in Germania e Canada. In tutto, sono stati presi di mira clienti in 36 paesi.
Reuters, citando un portavoce di Microsoft, ha affermato che la violazione rivelata venerdì non faceva parte del precedente attacco di successo di Nobelium a Microsoft. La società deve ancora fornire dettagli chiave, incluso per quanto tempo il computer del dipendente è stato compromesso e se è stata colpita una macchina gestita da Microsoft su una rete propria o un dispositivo “personale” che è connesso a una rete domestica.