Microsoft detalha invasão hacker — e tudo começou com autenticação de dois fatores

A Microsoft confirmou em 19 de janeiro que havia sido hackeada, em uma invasão que mirou contas e e-mails de executivos. Na última quinta-feira (25), a big tech divulgou mais detalhes sobre o ataque — incluindo como os cibercriminosos teriam conseguido acessar os seus sistemas e revelando outras empresas que também estão na mira.

Leia mais:

• Microsoft vai superar Apple nos próximos anos, dizem investidores
• Como funcionam os gerenciadores de senha?
• Gerenciador de senhas: os 5 melhores apps para você usar

Ataque hacker na Microsoft

A Microsoft confirmou a invasão após notar um acesso desconhecido no sistema de senhas uma semana antes. O Olhar Digital reportou o caso aqui.

Veja como aconteceu a invasão:

• Segundo uma postagem no blog da companhia, os hackers são da organização Midnight Blizzard, também conhecidos como Nobelium. Eles são o mesmo grupo por trás do ataque cibernético à SolarWinds, em 2020.
• A Microsoft disse que detectou a invasão em 12 de janeiro. Os hackers teriam usado uma técnica de spray de senha, usada para obter credenciais de acesso válidas após tentar uma mesma senha de uso comum em diferentes contas de usuário.
• Ainda, a empresa revelou que o grupo tentou a invasão em um número pequeno de contas, para não chamar atenção, e o fez a partir de um endereço residencial.
• Segundo análise da Microsoft, essas tentativas ocorriam desde novembro de 2023. 

A invasão só deu certo porque a conta que foi invadida não tinha autenticação de dois fatores. Do contrário, o ataque teria sido impedido.

Então, os hackers usaram um aplicativo de autenticação chamado OAuth, que permite ingressar em diferentes contas usando um mesmo token. O acesso foi bem-sucedido e, a partir daí, eles ingressaram no sistema corporativo da Microsoft e, eventualmente, chegaram no Office 365 Exchange Online, as caixas de entrada de e-mail da empresa.

Sobre a falta de autenticação de dois fatores, a empresa reconheceu a vulnerabilidade em pelo menos uma conta importante no sistema.

Objetivo dos hackers

Segundo a postagem da Microsoft, os hackers  “usaram as permissões da conta para acessar uma porcentagem muito pequena de contas de e-mail corporativas da Microsoft”. A big tech não especificou — e se recusou a comentar — quantas contas foram invadidas.

A companhia revelou que os hackers miravam especificamente executivos seniores e funcionários dos departamentos de segurança cibernética e jurídico. Eles conseguirem roubar “alguns e-mails e documentos anexados”.

Ainda segundo a companhia, o grupo queria também descobrir o que a Microsoft sabia sobre eles.

Invasão não foi a única

A Microsoft ainda escreveu que não foi o único alvo da Midnight Blizzard. Segundo a empresa, “o mesmo ator tem visado outras organizações”. A big tech não especificou quem ou quantas outras companhias podem ser alvo do grupo hacker, embora esteja notificando eventuais alvos.

Na semana passada, a Hewlett Packard Enterprise, divisão da HP focada em clientes corporativos, revelou que o mesmo grupo hacker já havia obtido acesso ao seu “ambiente de e-mail em nuvem”. Isso aconteceu em 12 de dezembro. No entanto, um porta-voz disse ao TechCrunch que não sabe se os incidentes estão vinculados.

Por fim, o The Verge lembrou que a invasão aconteceu poucos dias depois da Microsoft anunciar que revisaria sua segurança de software após ataques ao sistema em nuvem Azure.