Microsoft Says Russian Gov Hackers Stole Source Code After Spying on Executive Emails
2024/03/08 SecurityWeek — Microsoft の発表によると、同社の企業ネットワークに侵入して上級幹部に対するスパイ活動を展開した、ロシア政府に支援されたハッキング・チームは、ソースコードも盗んでいたという。さらに、現在も同社内のコンピューター・システムに、粘着している可能性があるという。Microsoft は、「現在進行中の攻撃として、あるハッキング・グループが当社の企業電子メール・システムから流出した情報を使って、不正アクセスを獲得している可能性もしくは、獲得しようと施行している可能性の証拠を掴んだ」と述べている。
Microsoft は短い声明の中で、「今回の侵害には、当社のソースコード・リポジトリや内部システムへのアクセスも含まれている」と述べているが、ソースコードへのアクセスや侵入された内部システムについての詳細は明らかにしていない。
同社は、「現在までのところ、当社がホストしている顧客向けシステムが、侵害されたという証拠は見つかっていない」と述べている。具体的に言うと、Microsoft と顧客との間で、電子メールを介して共有された各種のシークレットを、Midnight Blizzard は今後の攻撃で使おうとしているようだ。
Microsoft は、「流出した電子メールから、侵害の兆候が発見された場合には、緩和策について支援するために、顧客に手を差し伸べてきた。また、現在も差し伸べている。このハッキング・グループは、パスワードの散布などの、いくつかの攻撃パターンを持ち、大規模な侵害を展開している。2024年1月に見られた侵害の量と比較して、2月は 10倍に増えている」と警告している。
同社は、「このハッカー集団は入手した情報を使って、攻撃すべきエリアのイメージを蓄積し、その能力を高めているのかもしれない。つまり、前例のないグローバルな脅威の状況であり、国家による洗練された攻撃だと示唆される」と述べている。
Midnight Blizzard が Microsoft の企業ネットワークに侵入し、上級幹部/法務部門/サイバーセキュリティ部門などを標的とし、電子メールや添付ファイルをスパイしていたことが発覚してから、1ヵ月も経たないうちに今回のインシデントが生じた。
この APT は、SolarWinds のサプライチェーン・ハックも展開している。その時にはパスワードスプレー攻撃を使って、レガシーの非本番テスト用テナント・アカウントを侵害し、足がかりを得ていた。
Microsoft は、証券取引委員会 (SEC) に提出した書類の中で、「彼らは、いくつかの電子メールと添付文書を流出させた」と述べている。また、Microsoft のセキュリティ・チームは、2024年1月12日に企業システムへの国家攻撃を検知し、その感染について 2023年11月まで遡ることができたと述べている。
以前にも、中国のサイバー・スパイが、盗んだ Azure AD のエンタープライズ署名キーから認証トークンを偽造し、M365 の電子メール受信トレイに侵入したことが発覚している。それから半年も経たないうちに、このロシアのハッカーが発見され。
今回のハッキングにより、米国内の約 25の政府機関から、電子メールデータが盗まれた。現時点において CISA の CSRB (Cyber Security Review Board) が調査を行っているという。
Midnight Blizzard/Nobelium (別名 APT29/Cozy Bear) は、2020年に大規模なサプライチェーン攻撃を仕掛け、IT 管理ソリューション・プロバイダー SolarWinds をハッキングしたとされるグループである。
Microsoft 対 Midnight Blizzard の戦いは、依然として決着せず、いまも進行しているとのことです。これまでの経緯に関しては、”Microsoft + Midnight Blizzard + 2024/01” で検索していただけると、2024年1月の記事が3本ほど参照できます。よろしければ、APT29 で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.