La scorsa settimana Microsoft ha rivelato di aver scoperto un attacco ai suoi sistemi aziendali da parte di hacker russi, noti come Nobelium. Gli hacker sono riusciti ad accedere agli account di posta elettronica di alcuni membri del team dirigenziale di Microsoft, spiandoli potenzialmente per settimane o mesi. Sebbene Microsoft non abbia fornito molti dettagli sul modo in cui gli aggressori hanno ottenuto l'accesso nella sua comunicazione iniziale alla SEC di venerdì scorso, il produttore di software ha ora pubblicato una prima analisi di come gli hacker abbiano superato la sua sicurezza.
Nobelium ha inizialmente avuto accesso ai sistemi di Microsoft attraverso un "password spray attack". Questo tipo di attacco vede gli hacker utilizzare un dizionario di potenziali password contro gli account: non è raffinato come metodo, ma chiaramente funziona. In particolare, un account che è stato violato non aveva l'autenticazione a due fattori abilitata.
Nobelium "ha adattato i propri password spray attack a un numero limitato di account, utilizzando un basso numero di tentativi per eludere il rilevamento", spiega Microsoft.
Da questo attacco, il gruppo "ha sfruttato l'accesso iniziale per identificare e compromettere un'applicazione OAuth che aveva un accesso di alto livello all'ambiente aziendale Microsoft". OAuth è uno standard ampiamente utilizzato per l'autenticazione basata su token. È comunemente utilizzato sul web per consentire l'accesso ad applicazioni e servizi senza dover fornire la propria password a un sito web.
Questo accesso privilegiato ha permesso al gruppo di creare applicazioni OAuth più dannose e di creare account per accedere all'ambiente aziendale di Microsoft e, infine, al servizio Office 365 Exchange Online che fornisce l'accesso alle caselle di posta elettronica.
Quali sono i danni dell'attacco?
Microsoft non ha reso noto il numero di account di posta elettronica aziendali presi di mira e dei quali gli hacker hanno ottenuto l'accesso, ma l'azienda ha precedentemente affermato che si trattava di "una percentuale molto piccola di account di posta elettronica aziendali di Microsoft, compresi i membri del nostro team di leadership senior e i dipendenti delle nostre funzioni di cybersecurity, legali e di altro tipo".
Inoltre, Microsoft non ha ancora rivelato una tempistica esatta su quanto tempo gli hacker abbiano spiato il suo team dirigenziale e altri dipendenti. L'attacco iniziale è avvenuto a fine novembre 2023, ma Microsoft lo ha scoperto solo il 12 gennaio. Ciò potrebbe significare che gli aggressori hanno spiato i dirigenti Microsoft per quasi due mesi.
Nel frattempo, Microsoft ha anche licenziato 1900 dipendenti della divisione videoludica.
