0
0
Empresa afirma que grupo com vínculo com a Rússia direcionou ataque a seu sistema de suporte ao cliente
O grupo de ciberespionagem ligado à Rússia por trás do ataque à cadeia de suprimentos da SolarWinds recentemente teve como alvo o sistema de suporte ao cliente da Microsoft, revelou a empresa em um relatório publicado na sexta-feira, 25.
A Microsoft atribui a invasão a um grupo de hackers que ela chama de Nobelium, que também realizou o ataque à SolarWinds que afetou 18 mil usuários da plataforma de monitoramento de rede Orion e resultou em ataques subsequentes a nove agências governamentais e 100 empresas. O governo Biden acusou o Serviço de Inteligência Estrangeiro (SVR) da Rússia de comprometer a cadeia de suprimentos da SolarWinds.
A campanha do Nobelium que a Microsoft descreveu não está relacionada ao ataque ao SolarWinds, que usou uma backdoor chamada Sunburst, descoberta pela empresa de segurança FireEye em dezembro de 2020. “O último ataque cibernético relatado pela Microsoft não envolve nossa empresa ou nossos clientes de qualquer forma”, disse um porta-voz da SolarWinds no sábado, 26.
Na recente campanha, os invasores atacaram o sistema de suporte ao cliente da Microsoft. A investigação mostrou que um malware para roubo de informações foi encontrado em um dispositivo pertencente a um dos agentes de suporte ao cliente da fabricante de software. A conta desse agente tinha acesso a informações básicas da conta relacionadas a um “pequeno número” de clientes da empresa, de acordo com o relatório.
O grupo de hackers então usou esses dados para atingir clientes específicos da Microsoft no que a empresa chamou de “ataque altamente direcionado”, observa o relatório, embora pareça que a maioria dessas invasões não foi bem-sucedida. “Esta atividade recente não teve sucesso, e a maioria dos alvos não foi comprometida com sucesso. Estamos cientes de três entidades comprometidas até o momento. Todos os clientes que foram comprometidos ou visados estão sendo contatados através de nosso processo de notificação de estado nacional”, diz a Microsoft.
Depois de descobrir a campanha, a Microsoft expulsou os invasores do dispositivo do agente de atendimento ao cliente e removeu o malware. O relatório da empresa não fornece detalhes específicos sobre se esse ataque foi uma campanha de phishing ou outro tipo de ataque, mas parece que os invasores usaram força bruta ou técnicas de espalhamento de senha para comprometer as vítimas em potencial. A Microsoft também não especificou quando exatamente esse incidente ocorreu.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA também está investigando este incidente envolvendo grupos de hackers ligados à Rússia. “A CISA está ciente dessa atividade e está trabalhando com a Microsoft e nossos parceiros interagências para avaliar o impacto. Estamos prontos para ajudar qualquer entidade afetada”, disse Anne Cutler, porta-voz da CISA, ao Information Security Media Group.
FONTE: CISO ADVISOR