Microsoft afirma que se descubrió una nueva infracción en la investigación de SolarWinds sobre presuntos piratas informáticos

(Reuters) – Microsoft dijo el viernes que un atacante obtuvo acceso a uno de sus agentes de servicio al cliente y luego usó la información de ese para lanzar intentos de piratería contra los clientes.

La compañía dijo que encontró el compromiso durante su respuesta a los ataques por parte de un equipo que identifica como responsable de violaciones graves anteriores en SolarWinds y Microsoft.

Microsoft dijo que advirtió a los clientes afectados. Una copia de un aviso visto por Reuters afirmaba que el atacante pertenecía al grupo que Microsoft llama Nobelium y tuvo acceso durante la segunda quincena de mayo.

“Un sofisticado asociado estatal nacional que Microsoft identifica como NOBELLIUM ha tenido acceso a las herramientas de soporte al cliente de Microsoft para revisar la información de suscripción de servicios de Microsoft”, se lee en parte del aviso. El gobierno de Estados Unidos ha atribuido públicamente los ataques anteriores al gobierno ruso, que niega su participación.

Cuando Reuters preguntó sobre ese aviso, Microsoft anunció públicamente la violación.

Después de comentar sobre una campaña de phishing más amplia que afirmaba haber comprometido a una pequeña cantidad de entidades, Microsoft dijo que también se encontró con la violación de su propio agente, quien afirmó tener poderes limitados.

El agente podría ver la información de contacto para la facturación y los servicios que pagan los clientes, entre otras cosas.

“El actor ha utilizado esta información en algunos casos para lanzar ataques altamente dirigidos como parte de su campaña más amplia”, dijo Microsoft.

Microsoft advirtió a los clientes afectados que presten atención a las comunicaciones con sus contactos de facturación y que consideren cambiar esos nombres de usuario y direcciones de correo electrónico, así como que eviten el acceso a nombres de usuarios antiguos.

Microsoft dijo que estaba al tanto de tres entidades que se habían visto comprometidas en la campaña de phishing.

No aclaró de inmediato si alguien había estado entre aquellos cuyos datos se vieron a través del agente de soporte o si el agente había sido engañado por la campaña más amplia.

Microsoft no dijo si el agente estaba con un contratista o un empleado directo.

Un portavoz dijo que la última infracción del actor de amenazas no formaba parte del anterior ataque exitoso de Nobelium a Microsoft, en el que obtuvo el código fuente.

En el ataque a SolarWinds, el grupo alteró el código de esa empresa para acceder a los clientes de SolarWinds, incluidas nueve agencias federales de EE. UU.

Según el Departamento de Seguridad Nacional, en SolarWinds y otros clientes, los atacantes también se aprovecharon de las debilidades en la forma en que se configuraron los programas de Microsoft.

Más tarde, Microsoft afirmó que el grupo había comprometido las cuentas de sus empleados y tomó las instrucciones del software que rigen cómo Microsoft verifica las identidades de los usuarios.

Un funcionario de la Casa Blanca dijo que la última campaña de intrusión y phishing fue mucho menos grave que el fiasco de SolarWinds.

“Esto parece ser un espionaje en gran parte infructuoso”, dijo el funcionario.

Scott McConnell, portavoz de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Homeland Security, dijo que el grupo defensivo “está trabajando con Microsoft y nuestros socios interinstitucionales para evaluar el impacto. Estamos dispuestos a ayudar a todas las entidades afectadas ”.

Un portavoz de SolarWinds dijo: “El último ciberataque de Microsoft no afecta a nuestra empresa ni a nuestros clientes de ninguna manera”.