Miałem okazję porozmawiać ze specjalistami HPE nt. zabezpieczeń w firmie. Potwierdzili to, co wiemy już od pewnego czasu. Grupa hakerów sponsorowana przez rosyjski rząd miała dostęp do poczty firmy przez kilka miesięcy.
Obecnie HPE (Hewlett Packard Enterprise) już oficjalnie potwierdziło i ujawniło SEC, że firmowa poczta e-mail była celem ataku hakerów. Za atakiem przypuszczalnie stoi rosyjski rząd.
Trendy: Cyberbezpieczeństwo 2024
Pierwsze doniesienia na temat ataku pojawiły się w mediach 12 grudnia ubiegłego roku. To wtedy grupy zidentyfikowane jako Midnight Blizzard i Cozy Bear włamały się do chmurowego środowiska HPE i poczty korporacyjnej. Spółka informowała, że pozbyła się napastników i przywróciła bezpieczeństwo. Dziś jednak wiem już, że było inaczej. Z mojego doświadczenia mogę przyznać, że tak bywa dość często.
HPE zaatakowane przez hakerów
Śledztwo wykazało, że hakerzy po raz pierwszy zaatakowali firmę w maju 2023 roku. Wzięli wówczas za cel relatywnie mały procent skrzynek pocztowych. Co ciekawe, skrzynki należały nie tylko do pracowników z segmentu biznesowego, ale także z działu zajmującego się cyberbezpieczeństwem.
Firma napisała w oświadczeniu:
Podczas gdy nasze śledztwo dotyczące tego incydentu i jego zakresu nadal trwa, obecnie rozumiemy, że ten incydent prawdopodobnie wiąże się z wcześniejszą aktywnością hakerów, o której zostaliśmy powiadomieni w czerwcu 2023 roku. Dotyczy ona nieautoryzowanego dostępu i wykradania ograniczonej liczby plików SharePoint już w maju 2023 roku.
HPE
Firma nie spodziewa się, że incydent będzie miał istotny wpływ. Publiczne spółki są teraz zobowiązane do ujawnienia SEC (Komisja Papierów Wartościowych i Giełd) jakiegokolwiek istotnego naruszenia w ciągu czterech dni roboczych od odkrycia, że incydent ma duży wpływ na jej funkcjonowanie.
Nie tylko HPE atakowane
Microsoft poinformował w zeszłym tygodniu, że grupa Midnight Blizzard włamała się także do jego korporacyjnej sieci. Ukradła e-maile i załączniki od starszych dyrektorów, jak również od personelu działów cyberbezpieczeństwa i prawnych.
Hakerzy użyli ataku „rozpylania haseł”, aby skompromitować starsze, nieprodukcyjne konta testowe, a następnie wykorzystali uprawnienia tego konta do dostępu do korporacyjnych e-maili.
Gigant technologiczny powiedział, że atak został przeprowadzony pod koniec listopada 2023 roku i wykryty 12 stycznia 2024 roku, wpływając na „bardzo mały procent” kont e-mailowych.
Nie jest jasne, czy Microsoft i HPE były celem tej samej lub oddzielnych kampanii.
Midnight Blizzard to znana grupa
Midnight Blizzard to grupa skoncentrowana na cyberwywiadzie, znana również jako APT29, Cozy Bear, The Dukes, Nobelium i Yttrium. Jest jednym z najbardziej aktywnych i najbardziej zaawansowanych aktorów zagrożeń związanych z rządem rosyjskim. Została obwiniona za atak SolarWinds w 2020 roku i inne wysokiej rangi ataki.
Kilka agencji rządowych zgłosiło w grudniu, że grupa cyberszpiegów masowo wykorzystywała lukę w TeamCity.
W sierpniu Microsoft ostrzegał, że grupa nadużywała jego aplikacji czatu Teams do wyłudzania danych uwierzytelniających w poszczególnych organizacjach.
Zobacz wideo na czym polega atak ransomware (j. angielski):
Autor: Jacek Kawik, dziennikarz Vault-Tech.pl
Jacek Kawik jest web developerem i inżynierem oprogramowania, który uwielbia pisać o technologii i bezpieczeństwie. Niezależnie od tego, czy są to porady i wskazówki dotyczące systemu Windows, czy szczegółowe przewodniki dotyczące tworzenia aplikacji, Kawik wykorzystuje swoje praktyczne doświadczenie i umiejętności techniczne do tworzenia artykułów, które mogą pomóc w rozwiązaniu trudnych problemów.
Czytaj również:
Redaktorzy Vault-Tech.pl samodzielnie wybierają, recenzują i polecają produkty. Jeśli kupujesz za pośrednictwem linków partnerskich, możemy otrzymywać prowizje ze sprzedaży, dzięki którym serwis jest rozwijany.
Dziękujemy, że przeczytałaś/eś nasz artykuł. Obserwuj Vault-Tech.pl w Wiadomościach Google, aby być na bieżąco.