Meer organisaties werden getroffen door de aanval op Microsoft van het Russische ‘Midnight Blizzard’. Microsoft heeft verschillende klanten daar nu over geïnformeerd.
Wie precies geraakt is, wordt niet vermeld. Sommige organisaties waren er zelf al achter gekomen, maar voor andere partijen kwam de melding vanuit Microsoft als een donderslag bij heldere hemel.
Het aanvankelijke incident liet grote security-tekortkomingen blijken bij Microsoft, dat onder meer ’s werelds grootste securitybedrijf is. Zo was tweestapsverificatie (2FA/MFA) niet ingesteld, waardoor de methodiek van Midnight Blizzard, ‘password spraying‘, feitelijk door simpel maar intensief gokwerk succesvol was.
Lees ook onze blog over dit incident: Rusland valt Microsoft digitaal aan: mailaccounts ‘senior leadership’ gehackt
Grotere impact
De Russische aanval vond eind november 2023 plaats en richtte zich onder meer op de bedrijfstop van Microsoft. De hackers wisten echter ook de e-mails van hoge bewindslieden van de Amerikaanse regering buit te maken. Nu blijkt dat Midnight Blizzard meer organisaties trof, ook al weten we niet wie.
Wel is sinds vrijdag bekend dat Midnight Blizzard volop actief blijft. Eind juni drong het bijvoorbeeld het Duitse TeamViewer binnen. Dat bedrijf richt zich op remote access. De software van TeamViewer zou daarom mogelijk als aanvalspad zou kunnen functioneren voor andere hacks.
Midnight Blizzard zal hopen op een herhaling van de SolarWinds-hack uit 2020. Destijds wist deze aan Rusland gelieerde groep de SolarWinds-software te compromitteren en stal het talloze gegevens van Amerikaanse overheidsinstanties en bedrijven. Er waren ook slachtoffers in andere landen, waaronder België.
Microsoft hoopt vertrouwen terug te winnen
Getroffen klanten kunnen de gestolen e-mailberichten inzien via een afgeschermde custom interface, laat Bloomberg weten. Een medewerker vroeg afgelopen week op Reddit of het Microsoft-bericht niet een phishing-poging was. Het supportteam van de techreus bevestigde dat het bericht authentiek was, maar de Reddit-gebruiker stelt dat de e-mail in feite “exact leest als de soort phishing e-mails waarbij we personeel afraden om erop te reageren”.
Dat duidt eerder op een terechte inschatting van de geloofwaardigheid van phishing-mails dan dat Microsoft de berichtgeving anders aan had moeten pakken. Het bedrijf heeft toegezegd haar security-praktijken aanzienlijk op te schroeven en wederom een prioriteit te maken. Het terugwinnen van vertrouwen zal niet snel gaan, maar hangt mede af van de omgang met eerdere hacks.
Deze klanten zijn acht maanden geleden gecompromitteerd door Midnight Blizzard, maar Microsoft heeft klaarblijkelijk de tijd genomen om zeker te zijn van zijn zaak voordat het met berichtgeving hierover kwam. Bij een ander grootschalig incident waarbij Chinese hackers Microsoft binnendrongen, was het bedrijf immers juist veel te snel met het naar buiten brengen van nieuws over de aanval. Dit bleek later foutief te zijn en werd lange tijd niet gecorrigeerd, iets dat de Amerikaanse Cyber Safety Review Board fel bekritiseerde.
Lees ook: Na security-debacles voegt Microsoft nieuwe bewindslieden toe