Il threat actor russo ha "bucato" la piattaforma di posta di HPE, compresa quella del team di cybersecurity
Autore: Redazione SecurityOpenLab
In una comunicazione ufficiale alla Securities and Exchange Commission statunitense - l'analogo della nostra Consob, in un certo senso - HPE ha rivelato che i suoi sistemi sono stati violati dal threat actor russo Midnight Blizzard. Verso la metà dello scorso dicemre, HPE ha infatti scoperto che il gruppo era penetrato nei suoi sistemi di posta in cloud.
Più precisamente, secondo il racconto di HPE, il 12 dicembre 2023 l'azienda è stata informata che un presunto attaccante state-sponsored aveva violato i sistemi di posta. HPE ritiene che l'attaccante sia il gruppo Midnight Blizzard, noto anche come Cozy Bear, APT29 o Nobelium.
Le indagini successive alla scoperta della violazione dei sistemi hanno rivelato che Midnight Blizzard aveva probabilmente ottenuto accesso ai sistemi di posta già dal maggio precedente. E aveva esfiltrato dati da quella che viene definita come "una piccola percentuale" di caselle di posta. Tra cui, ironicamente, anche alcune del team di cybersecurity.
La breccia di Midnight Blizzard probabilmente è legata, ipotizza HPE, anche a una precedente violazione dei sistemi dell'azienda americana. Datata maggio-giugno 2023, questa particolare breccia è sempre attribuita a Midnight Blizzard e riguarda "un numero limitato" di documenti SharePoint. A quanto pare oggi, dunque, la remediation di quell'attacco non era stata efficae come si presumeva.
Le indagini sulla violazione dei sistemi di posta HPE continuano. L'azienda spiega che, con l'aiuto di esperti esterni di cybersecurity, ha comunque attivato i necessari processi per "contenere e correggere l'incidente", eliminando la presenza di Midnight Blizzard nei suoi sistemi.
Il nuovo caso HPE replica da vicino la dinamica di un'altra recente violazione di sistemi di posta da parte di Midnight Blizzard. La vittima in questo caso è stata Microsoft, secondo cui un attacco "password spray" su un sistema di test non in produzione ha permesso agli attaccanti di ottenere accesso al sistema stesso e poi di muoversi lateralmente sui sistemi di posta aziendale di Redmond.
In questo caso l'attacco sembra mirato, perché - racconta Microsoft - gli attaccanti "inizialmente stavano prendendo di mira gli account di posta elettronica alla ricerca di informazioni relative a Midnight Blizzard stessa". Questo spiega perché l'attacco si sia concentrato anche sui team di cybersecurity. È ipotizzabile, ma non sicuro, che anche l'attacco a HPE possa essere stato in qualche modo mirato e non una generica ricerca di informazioni.
Midnight Blizzard / Cozy Bear è peraltro uno dei gruppi state-sponsored più pericolosi. È dietro ad esempio alla violazione della supply chain software di SolarWinds, che ha poi portato a cascata alla violazione dei sistemi di un numero decisamente elevato di aziende e organizzazioni, utenti appunto dei software SolarWinds compromessi.