Microsoft wurde Opfer eines gezielten Angriffs auf seine Unternehmenssysteme, bei dem E-Mails und Anhänge von leitenden Angestellten und anderen Personen in den Bereichen Cybersicherheit und Recht des Unternehmens gestohlen wurden. Der Angriff wurde auf eine russische Advanced Persistent Threat (APT) Gruppe namens Midnight Blizzard (ehemals Nobelium) zurückgeführt, die auch als APT29, BlueBravo, Cloaked Ursa, Cozy Bear und The Dukes bekannt ist. Microsoft hat umgehend Maßnahmen ergriffen, um die bösartige Aktivität zu untersuchen, zu unterbrechen und einzudämmen, nachdem sie am 12. Januar 2024 entdeckt wurde. Die Kampagne soll Ende November 2023 begonnen haben.
Microsoft erklärte: „Der Angreifer nutzte einen Passwortspray-Angriff, um ein Legacy Non-Production Test-Tenant-Konto zu kompromittieren und einen Einstiegspunkt zu erhalten. Anschließend wurden die Rechte des Kontos genutzt, um auf einen sehr kleinen Prozentsatz der Microsoft-Firmen-E-Mail-Konten zuzugreifen, darunter Mitglieder unserer Führungsebene und Mitarbeiter in den Bereichen Cybersicherheit, Recht und andere Funktionen, und einige E-Mails und beigefügte Dokumente wurden exfiltriert.“
Microsoft betonte, dass der Angriff nicht auf Sicherheitslücken in seinen Produkten beruhte und dass es keine Hinweise darauf gibt, dass der Angreifer Zugriff auf Kundenumgebungen, Produktionssysteme, Quellcode oder KI-Systeme hatte. Es wurde jedoch nicht bekannt gegeben, wie viele E-Mail-Konten infiltriert wurden und welche Informationen abgerufen wurden. Microsoft ist dabei, die betroffenen Mitarbeiter über den Vorfall zu informieren.
Die Hackergruppe Midnight Blizzard, die zuvor für den aufsehenerregenden SolarWinds-Angriff verantwortlich war, hat Microsoft bereits zweimal ins Visier genommen. Einmal im Dezember 2020, um Quellcode im Zusammenhang mit Azure, Intune und Exchange-Komponenten abzuziehen, und ein zweites Mal im Juni 2021, als drei Kunden über Passwortspray- und Brute-Force-Angriffe kompromittiert wurden. Das Microsoft Security Response Center (MSRC) erklärte: „Dieser Angriff verdeutlicht erneut das anhaltende Risiko für alle Organisationen durch gut ausgestattete staatliche Bedrohungsakteure wie Midnight Blizzard.“