Im aktuellen Blogbeitrag informiert Microsoft über anhaltende Angriffe auf seine internen Systeme durch staatlich geförderte Cyberkriminelle. Die Gruppe, zuvor als Nobelium bekannt und nun als „Midnight Blizzard“ bezeichnet, setzt ihre Attacken seit Ende November 2023 fort, und trotz intensiver Bemühungen seitens Microsoft konnte der unbefugte Zugriff bisher nicht unterbunden werden.

Laut dem Unternehmen haben sich die Aktivitäten der Angreifer im Februar 2024 verzehnfacht. Der Einsatz von Password Sprays gehört dabei zu den bekannten Angriffsmethoden. Die erbeuteten Zugangsdaten ermöglichten der Gruppe den Zugriff auf Repositories mit Quellcode von Microsoft. Obwohl das Unternehmen nicht explizit angibt, welche Produkte betroffen sind, betont es, dass bisher keine Anzeichen für Kompromittierungen der Systeme existieren, die von externen Kunden genutzt werden.

Das Hauptziel von Midnight Blizzard besteht darin, Schwachstellen in den internen Systemen von Microsoft zu identifizieren, um so Zugang zu anderen Bereichen zu erlangen. Die Sicherheitsabteilung von Microsoft konnte die Bestrebungen und Muster der Gruppe genau analysieren. Midnight Blizzard wird als planvoll agierender, von Russland unterstützter böswilliger Akteur betrachtet, der über beträchtliche Ressourcen verfügt. Microsoft hat die entdeckten Aktivitäten von Midnight Blizzard unter einem eigenen Blog-Stichwort zusammengefasst.

Das Unternehmen plant, weitere Erkenntnisse zu den Aktivitäten in seinem Netzwerk zu veröffentlichen. Es bleibt jedoch unklar, warum Microsoft bisher Schwierigkeiten hat, die Gruppe endgültig aus seinen Systemen auszusperren. Die Angriffe haben eine „zuvor nicht bekannte globale Bedrohungslage, insbesondere was ausgeklügelte Angriffe durch Nationalstaaten betrifft“, offenbart, was möglicherweise die Herausforderungen für die Abwehr solcher Angriffe verdeutlicht.