Η Hewlett Packard Enterprise (HPE) αποκάλυψε σήμερα ότι ύποπτοι Ρώσοι χάκερ γνωστοί ως
Midnight Blizzard
απέκτησαν πρόσβαση στο περιβάλλον ηλεκτρονικού ταχυδρομείου του
Microsoft
Office 365 της εταιρείας για να κλέψουν δεδομένα από την ομάδα ασφάλειας στον κυβερνοχώρο και άλλα τμήματα.
Το Midnight Blizzard, γνωστό και ως Cozy Bear, APT29 και Nobelium, είναι μια ρωσική κρατική ομάδα hacking
που
πιστεύεται ότι είναι μέρος της Υπηρεσίας Εξωτερικών Πληροφοριών της Ρωσίας (SVR). Οι παράγοντες
απε
ιλών έχουν συνδεθεί με πολλαπλές επιθέσεις καθ’ όλη τη διάρκεια του έτους, συμπεριλαμβανομένης της περίφημης επίθεσης στην αλυσίδα εφοδιασμού της SolarWinds το 2020.
Σε μια νέα κατάθεση Form 8-K SEC, η HPE λέει ότι ειδοποιήθηκαν στις 12 Δεκεμβρίου ότι οι ύποπτοι Ρώσοι χάκερ παραβίασαν το περιβάλλον ηλεκτρονικού ταχυδρομείου τους που βασίζεται στο cloud τον Μάιο του 2023.
“Με βάση την έρευνά μας, πιστεύουμε τώρα ότι ο παράγοντας απειλής είχε πρόσβαση και διήθησε δεδομένα ξεκινώντας τον Μάιο του 2023 από ένα μικρό ποσοστό γραμματοκιβωτίων HPE που ανήκαν σε άτομα στον τομέα της κυβερνοασφάλειας, της κυκλοφορίας στην αγορά, των επιχειρηματικών μας τμημάτων και άλλων λειτουργιών”, αναφέρει. ο
κατάθεση SEC
.
Η HPE λέει ότι εξακολουθεί να ερευνά την παραβίαση, αλλά πιστεύει ότι σχετίζεται με μια προηγούμενη παραβίαση τον Μάιο του 2023, όταν οι παράγοντες απειλών απέκτησαν πρόσβαση στον διακομιστή SharePoint της εταιρείας και έκλεψαν αρχεία.
Η εταιρεία συνεχίζει να συνεργάζεται με εξωτερικούς εμπειρογνώμονες στον κυβερνοχώρο και τις αρχές επιβολής του νόμου για τη διερεύνηση του συμβάντος.
Σε απάντηση σε περαιτέρω ερωτήσεις σχετικά με την παραβίαση, η HPE μοιράστηκε την ακόλουθη δήλωση με το BleepingComputer.
“Στις 12 Δεκεμβρίου 2023, η HPE ειδοποιήθηκε ότι ένας ύποπτος παράγοντας εθνικού κράτους είχε αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο περιβάλλον ηλεκτρονικού ταχυδρομείου του Office 365 της εταιρείας. Η HPE ενεργοποίησε αμέσως πρωτόκολλα απόκρισης στον κυβερνοχώρο για να ξεκινήσει έρευνα, να αποκαταστήσει το περιστατικό και να εξαλείψει τη δραστηριότητα. Μέσω αυτή η έρευνα, η οποία εξακολουθεί να βρίσκεται σε εξέλιξη, προσδιορίσαμε ότι αυτός ο παράγοντας εθνικού κράτους είχε πρόσβαση και διείσδυσε δεδομένα από τον Μάιο του 2023 από ένα μικρό ποσοστό γραμματοκιβωτίων HPE που ανήκαν σε άτομα στον τομέα της κυβερνοασφάλειας, της κυκλοφορίας στην αγορά, των επιχειρηματικών τμημάτων και άλλων λειτουργιών μας. Πιστεύουμε ότι ο ηθοποιός του έθνους-κράτους είναι ο Midnight Blizzard, γνωστός και ως Cozy Bear.
Τα δεδομένα πρόσβασης περιορίζονται στις πληροφορίες που περιέχονται στα γραμματοκιβώτια των χρηστών. Συνεχίζουμε την έρευνα και θα κάνουμε τις κατάλληλες ειδοποιήσεις όπως απαιτείται.
Λόγω μεγάλης προσοχής και επιθυμίας να συμμορφωθούμε με το πνεύμα των νέων ρυθμιστικών κατευθυντήριων γραμμών γνωστοποίησης, καταθέσαμε ένα έντυπο 8-K στην Επιτροπή Κεφαλαιαγοράς για να ενημερώσουμε αυτόν τον οργανισμό και τους επενδυτές σχετικά με αυτό το περιστατικό. Τούτου λεχθέντος, δεν υπήρξε κανένας λειτουργικός αντίκτυπος στην επιχείρησή μας και, μέχρι σήμερα, δεν έχουμε προσδιορίσει ότι αυτό το περιστατικό είναι πιθανό να έχει σημαντικές οικονομικές επιπτώσεις».
Αν και η HPE δεν έδωσε περισσότερες λεπτομέρειες, η Microsoft ανέφερε πρόσφατα παραβίαση ασφαλείας από τη Midnight Blizzard που περιλάμβανε επίσης κλοπή δεδομένων από εταιρικούς λογαριασμούς email της εταιρείας, συμπεριλαμβανομένης της ηγετικής της ομάδας.
Η παραβίαση της Microsoft προκλήθηκε από έναν εσφαλμένο δοκιμαστικό λογαριασμό μισθωτή που επέτρεψε στους παράγοντες της απειλής να κάνουν βίαια τον κωδικό πρόσβασης του λογαριασμού και να συνδεθούν στα συστήματά τους.
Χρησιμοποιώντας αυτήν την πρόσβαση, η Midnight Blizzard απέκτησε πρόσβαση σε εταιρικούς λογαριασμούς email για να κλέψει δεδομένα από την ανώτερη ηγετική ομάδα της Microsoft και τους
υπαλλήλους
της στον κυβερνοχώρο και τα νομικά της τμήματα.
Η HPE είπε στο BleepingComputer ότι δεν γνωρίζουν εάν το περιστατικό σχετίζεται με αυτό της Microsoft.
Η εταιρεία ήταν
προηγουμένως παραβιάστηκε το 2018
όταν Κινέζοι χάκερ παραβίασαν το δίκτυο της IBM και στη συνέχεια χρησιμοποίησαν αυτήν την πρόσβαση για να παραβιάσουν τις συσκευές των πελατών τους.
Πιο πρόσφατα, το 2021, η HPE αποκάλυψε ότι τα αποθετήρια δεδομένων για την πλατφόρμα παρακολούθησης του κεντρικού δικτύου της Αρούμπα είχαν παραβιαστεί, επιτρέποντας σε έναν παράγοντα απειλής να έχει πρόσβαση σε δεδομένα σχετικά με τις συσκευές παρακολούθησης και τις τοποθεσίες τους.
VIA:
bleepingcomputer.com
