Microsoft diz que nova violação foi descoberta em investigação de suspeitos no caso SolarWinds

SÃO FRANCISCO, 25 de junho (Reuters) – A Microsoft (MSFT.O) disse na sexta-feira que um invasor conseguiu acesso a um de seus agentes de atendimento ao cliente e, em seguida, usou as informações para lançar tentativas de hacking contra os clientes.

A empresa disse que encontrou o acordo durante a resposta a hacks por uma equipe que identificou como responsável por violações importantes anteriores na SolarWinds (SWI.N) e na Microsoft.

A Microsoft disse que alertou os clientes afetados. Uma cópia de um aviso visto pela Reuters disse que o atacante pertencia ao grupo que a Microsoft chama de Nobelium e que teve acesso durante a segunda quinzena de maio.

“Um sofisticado ator associado ao Estado da Nação que a Microsoft identifica como NOBELLIUM acessou as ferramentas de suporte ao cliente da Microsoft para revisar informações sobre suas assinaturas de Serviços da Microsoft”, diz o aviso em parte. O governo dos EUA atribuiu publicamente os ataques anteriores ao governo russo, que nega envolvimento.

Quando a Reuters perguntou sobre o aviso, a Microsoft anunciou a violação publicamente.

Depois de comentar sobre uma campanha mais ampla de phishing que disse ter comprometido um pequeno número de entidades, a Microsoft disse que também encontrou a violação de seu próprio agente, que disse ter poderes limitados.

O agente pode ver as informações de contato para cobrança e quais serviços os clientes pagam, entre outras coisas.

“O ator usou essas informações em alguns casos para lançar ataques altamente direcionados como parte de sua campanha mais ampla”, disse a Microsoft.

A Microsoft alertou os clientes afetados para ter cuidado com as comunicações com seus contatos de cobrança e considerar a alteração desses nomes de usuário e endereços de e-mail, bem como impedir o login de nomes de usuário antigos.

A Microsoft disse estar ciente de três entidades que foram comprometidas na campanha de phishing.

Não esclareceu imediatamente se algum estava entre aqueles cujos dados foram visualizados por meio do agente de suporte, ou se o agente foi enganado pela campanha mais ampla.

A Microsoft não disse se o agente era um contratado ou um funcionário direto.

Um porta-voz disse que a última violação do ator da ameaça não fazia parte do ataque anterior bem-sucedido do Nobelium à Microsoft, no qual obteve algum código-fonte.

No ataque à SolarWinds, o grupo alterou o código dessa empresa para acessar os clientes da SolarWinds, incluindo nove agências federais dos EUA.

Nos clientes da SolarWinds e outros, os invasores também tiraram proveito dos pontos fracos na forma como os programas da Microsoft foram configurados, de acordo com o Departamento de Segurança Interna.

A Microsoft disse mais tarde que o grupo comprometeu as contas de seus próprios funcionários e tomou instruções de software que regem como a Microsoft verifica as identidades dos usuários.

Um funcionário da Casa Branca disse que a última invasão e campanha de phishing foi muito menos séria do que o fiasco da SolarWinds.

“Isso parece ser uma espionagem comum e malsucedida”, disse o funcionário.

Scott McConnell, porta-voz da Homeland Security’s Cybersecurity e Infrastructure Security Agency, disse que o grupo defensivo “está trabalhando com a Microsoft e nossos parceiros interagências para avaliar o impacto. Estamos prontos para ajudar quaisquer entidades afetadas. ”

Reportagem de Peter Henderson Edição de Chris Reese

Fonte: https://www.reuters.com/