كشفت شركتا Microsoft وHewlett-Packard Enterprise (HPE) مؤخرًا عن تعرضهما لانتهاكات البريد الإلكتروني الخاصة بشركتهما على أيدي قراصنة “Midnight Blizzard” الروس.
وترتبط المجموعة، المرتبطة بالاستخبارات الخارجية للكرملين SVR، على وجه التحديد بـ APT 29 Cozy Bear التابع لـ SVR، وهي العصابة التي تدخلت في الانتخابات الرئاسية في الولايات المتحدة عام 2016، وقامت بعمليات تجسس عدوانية على الحكومات والشركات في جميع أنحاء العالم لسنوات، وكانت وراء هجوم سلسلة التوريد SolarWinds سيئ السمعة لعام 2021. في حين تم الكشف عن خروقات كل من HP وMicrosoft في غضون أيام من بعضها البعض، فإن الوضع يوضح بشكل أساسي الواقع المستمر لأنشطة التجسس الدولية التي تقوم بها Midnight Blizzard والمدى الذي ستذهب إليه للعثور على نقاط الضعف في الدفاعات الرقمية للمؤسسات.
“لا ينبغي لنا أن نتفاجأ بأن جهات التهديد الروسية المدعومة من المخابرات الروسية، وSVR على وجه الخصوص، تستهدف شركات التكنولوجيا مثل Microsoft وHPE. يقول جيك ويليامز، وهو قرصان سابق بوكالة الأمن القومي الأمريكية وعضو هيئة تدريس حالي في معهد أمن الشبكات التطبيقي: “في ظل وجود مؤسسات بهذا الحجم، ستكون مفاجأة أكبر بكثير أن نعرف أنها ليست كذلك”.
قالت HP Enterprise في تقرير لجنة الأوراق المالية والبورصة الأمريكية الذي تم نشره يوم الأربعاء أن Midnight Blizzard تمكنت من الوصول إلى “بيئة البريد الإلكتروني السحابية” العام الماضي. علمت الشركة بالموقف لأول مرة في 12 ديسمبر 2023، لكنها قالت إن الهجوم بدأ في مايو 2023. وصل المتسللون إلى البيانات وقاموا بتسريبها … من نسبة صغيرة من صناديق بريد HPE المملوكة لأفراد في مجال الأمن السيبراني لدينا، والذهاب إلى السوق، قطاعات الأعمال، والوظائف الأخرى،” كتبت الشركة في ملف هيئة الأوراق المالية والبورصات. قالت شركة HP Enterprise إن الاختراق قد حدث على الأرجح نتيجة لحادث آخر، تم اكتشافه في يونيو 2023، حيث تمكنت Midnight Blizzard أيضًا من الوصول إلى ملفات “SharePoint” الخاصة بالشركة وسحبها بدءًا من مايو 2023. SharePoint عبارة عن منصة تعاون سحابية مستهدفة بشكل كبير تم إنشاؤها بواسطة Microsoft الذي يتكامل مع Microsoft 365.
وقال آدم باور، المتحدث باسم HP Enterprise، لـ WIRED في بيان: “تقتصر البيانات التي تم الوصول إليها على المعلومات الموجودة في صناديق البريد الإلكتروني لمستخدمي HPE”. “نحن نواصل التحقيق في صناديق البريد هذه وتحليلها لتحديد المعلومات التي كان من الممكن الوصول إليها وسنقدم الإخطارات المناسبة كما هو مطلوب.”
وفي الوقت نفسه، قالت مايكروسوفت يوم الجمعة إنها اكتشفت اقتحامًا للنظام في 12 يناير مرتبطًا باختراق نوفمبر 2023. استهدف المهاجمون بعض حسابات اختبار نظام Microsoft التاريخية وقاموا باختراقها مما سمح لهم بعد ذلك بالوصول إلى “نسبة صغيرة جدًا من حسابات البريد الإلكتروني لشركة Microsoft، بما في ذلك أعضاء فريق القيادة العليا لدينا والموظفين في وظائف الأمن السيبراني والقانونية وغيرها.” ومن هناك تمكنت المجموعة من تسريب “بعض رسائل البريد الإلكتروني والمستندات المرفقة”. وأشارت مايكروسوفت في كشفها إلى أن المهاجمين كانوا يبحثون على ما يبدو عن معلومات حول تحقيقات مايكروسوفت ومعرفة Midnight Blizzard نفسها.
“لم يكن الهجوم نتيجة لثغرة أمنية في منتجات أو خدمات Microsoft. حتى الآن، لا يوجد دليل على أن جهة التهديد لديها أي إمكانية الوصول إلى بيئات العملاء، أو أنظمة الإنتاج، أو كود المصدر، أو أنظمة الذكاء الاصطناعي. “يسلط هذا الهجوم الضوء على الخطر المستمر الذي تتعرض له جميع المنظمات من جهات تهديد الدولة القومية ذات الموارد الجيدة مثل Midnight Blizzard.”