Midnight Blizzard, свързаната с Русия хакерска група, която стои зад неотдавнашния голям пробив в Microsoft, също е проникнала в HPE, потвърди компанията тази седмица – и се очаква през следващите дни да се появят още жертви.
HPE потвърди, че групата е започнала да получава достъп и да ексфилтрира данни от фирмата още през май 2023 г., като е получила достъп до „малък процент от пощенските кутии на HPE“.
Технологичният гигант заяви, че засегнатите пощенски кутии са принадлежали предимно на служители, работещи в неговите сегменти за киберсигурност, пазарна реализация и бизнес.
Съобщава се, че с помощта на външни експерти по киберсигурност HPE е активирала своя процес на реакция, за да „разследва, ограничи и отстрани инцидента“.
Този пробив е следствие от няколко високопрофилни атаки на групата за заплахи, която носи имената APT29 и Cozy Bear.
Съвсем наскоро Midnight Blizzard извърши разузнавателна атака срещу Microsoft с намерението да разбере какво знае фирмата за нея. Както и при атаката срещу HPE, групата е ексфилтрирала корпоративни имейли и фирмени документи.
Още през 2019 г. SolarWinds пострада от ръцете на Midnight Blizzard при хакерска атака, която имаше далечни последици за няколко американски правителствени органа, включително министерството на търговията и министерството на финансите.
Това не е и първият сблъсък на HPE с Midnight Blizzard. В последните документи на Комисията по ценните книжа и фондовите борси се посочва, че настоящата атака вероятно е свързана с по-ранна атака на групата през юни 2023 г.
При неразкрито преди това нарушение Midnight Blizzard е получила неоторизиран достъп до няколко файла SharePoint в системата на HPE, въпреки че HPE е определила, че това не е оказало съществено влияние върху компанията.
Във връзка с настоящата атака HPE твърди, че си сътрудничи с правоприлагащите органи, като същевременно оценява своите регулаторни задължения за уведомяване.
Въпреки че пълният обхват на атаката не е ясен, HPE изглежда уверена, че инцидентът няма „вероятност да окаже съществено въздействие върху финансовото състояние или резултатите от дейността на компанията“.
Възможно е да се появят още жертви на Midnight Blizzard
Само седмица след като разкри, че е станала жертва на Midnight Blizzard, Microsoft сега разкри, че разследването на атаката показва, че може да има още жертви.
В публикация в блога си на 25 януари технологичният гигант заключи, че не е бил единствената цел на групата и че тя е „насочвала атаките си към други организации“, работещи в глобалния технологичен сектор.
Въпреки че Microsoft не разкрива кой изглежда е бил мишена, компанията заяви, че е започнала да уведомява тези, които са потенциално изложени на риск или са изложени на въздействието на групата.
„Използвайки информацията, получена от разследването на Microsoft по отношение на Midnight Blizzard, Microsoft Threat Intelligence установи, че същият извършител се е насочил към други организации и като част от обичайните ни процеси за уведомяване започнахме да уведомяваме тези целеви организации“, заявиха от Microsoft.
Важно е да се отбележи, че това разследване все още продължава и ние ще продължим да предоставяме подробности, когато е необходимо.
Чис Морган, старши анализатор по разузнаване на киберзаплахите в ReliaQuest, заяви, че атаките на Microsoft и HPE подчертават значителните заплахи, пред които са изправени технологичните компании от подкрепяни от държавата групи за заплахи, много от които са технически опитни и изключително агресивни.
„Последният инцидент, засегнал HPE – който последва неотдавнашното проникване срещу Microsoft – служи като напомняне за значителния риск, пред който са изправени технологичните компании от заплахи, свързани с национални държави“, каза той.
„Атаката, която се приписва на свързаната с Русия група за заплахи Cozy Bear (известна още като Midnight Blizzard, APT29), подчертава продължаващата борба да останем една крачка пред нападателите, които са гъвкави, добре обезпечени и технически усъвършенствани.“
