Microsoft y Hewlett-Packard Enterprise (HPE) han sido blanco de ciberataques por parte del grupo de piratas informáticos rusos conocido como Midnight Blizzard. 

Este grupo, vinculado a la inteligencia exterior del Kremlin, ya han protagonizado otros episodios como el ataque a la cadena de suministro de SolarWinds en 2021 y la interferencia en las elecciones presidenciales de EEUU en 2016. Ahora, han dirigido su mirada hacia empresas tecnológicas potentes.

En los ataques, Midnight Blizzard logró infiltrarse en el entorno de correo electrónico basado en la nube de HPE, accediendo y extrayendo datos de algunos buzones de correo. Este incidente se descubrió en diciembre de 2023, pero el ataque se remonta a mayo del mismo año. 

En el caso de Microsoft, detectaron un acceso extraño relacionado con una violación ocurrida en noviembre de 2023. Los atacantes comprometieron algunas cuentas de correo electrónico corporativas, incluyendo miembros del equipo senior y empleados que realizan funciones clave dentro de la compañía.

Ciberseguridad y teletrabajo: estos son los consejos que he seguido para proteger mi ordenador

Midnight Blizzard: piratas informáticos rusos apuntan a grandes empresas tecnológicas

Estos ciberataques han sido atribuidos al grupo Midnight Blizzard, que tiene vínculos con APT 29 Cozy Bear de la inteligencia rusa. Este grupo ha estado activo durante años, realizando operaciones de espionaje gubernamental y corporativo en diferentes partes del mundo.

"No debería sorprendernos que los actores de amenazas respaldados por la inteligencia rusa, y SVR en particular, estén apuntando a empresas tecnológicas como Microsoft y HPE. Con organizaciones de ese tamaño, sería una sorpresa mucho mayor saber que no lo son", explica Jake Williams, ex hacker de la Agencia de Seguridad Nacional de EEUU y actual miembro del Instituto de Seguridad Aplicada de Redes.

Como es de esperar, las empresas están llevando a cabo investigaciones para evaluar el alcance de la información comprometida y tomar las medidas necesarias. Adam Bauer, portavoz de HP Enterprise, menciona que están analizando los buzones de correo para identificar la información a la que se podría haber accedido y realizarán notificaciones según sea necesario. 

"Los datos a los que se accede se limitan a la información contenida en los buzones de correo electrónico de los usuarios de HPE", dijo a Wired el portavoz de HP Enterprise, Adam Bauer. "Continuamos investigando y analizando estos buzones de correo para identificar información a la que se podría haber accedido y haremos las notificaciones apropiadas según sea necesario".

Microsoft, por su parte, asegura que el ataque no fue resultado de vulnerabilidades en sus productos y servicios, y hasta la fecha no hay evidencia de acceso a entornos de clientes, sistemas de producción, código fuente o sistemas de inteligencia artificial.

Pese a que el resultado parece que no ha llegado a más, sí que mantiene en alerta a estas y otras tantas empresas, ya que, aunque el grupo de ciberdelincuentes es muy conocido, ha seguido siendo "extremadamente prolífico" y vuelve a atacar a ciertas víctimas varias veces durante meses o incluso años. 

"Esta persistencia y agresividad son indicativas de un interés sostenido en esta información y de una estricta asignación de tareas por parte del gobierno ruso", comenta Doug Bienstock,de la firma de inteligencia de amenazas Mandiant. "Es una gran evidencia que nos recuerda que los actores de amenazas monitorean periódicamente nuestros propios esfuerzos de investigación como defensores", añade otro investigador.