Microsoft Sebut Hacker Rusia Curi Email dan Dokumen Karyawan Senior

Peretas Rusia yang didukung negara membobol sistem email perusahaan Microsoft dan mengakses akun beberapa eksekutif senior, serta beberapa karyawan di divisi keamanan siber dan hukum, kata Microsoft pada hari Jumat (19/1).

Microsoft mengatakan, para peretas tersebut berasal dari kelompok yang disebut Midnight Blizzard. Kelompok ini juga dikenal sebagai APT29, Nobelium, atau Cozy Bear oleh para peneliti keamanan siber dan terkait dengan agen mata-mata SVR Rusia, menurut para pejabat AS.

Dalam sebuah posting blog, Microsoft mengatakan penyusupan dimulai pada akhir November 2023 dan ditemukan pada 12 Januari. Tim peretas Rusia ini sangat terampil. Microsoft berhasil menutup akses peretas dari akun yang disusupi pada 13 Januari.

Peretas menggunakan serangan spray password untuk menyusup ke akun email lama untuk uji coba milik perusahaan yang memiliki kata sandi lemah dan tidak mengaktifkan otentikasi dua faktor. Setelah mendapatkan dasar itu, mereka memanfaatkan izin akun tersebut untuk mengakses sebagian kecil akun email perusahaan Microsoft, termasuk karyawan senior dan karyawan lain.

Kelompok hacker Rusia mampu menebaknya dan masuk dengan kata sandi yang telah dibobol atau umum digunakan sebelumnya. Sampai akhirnya, mereka mendapatkan kata sandi yang benar. Pelaku kemudian mengakses akun tersebut, menunjukkan bahwa two-factor authentication (2FA) tidak digunakan atau perlindungannya telah dilewati.

Pencurian akun dan dokumen ini memengaruhi "persentase yang sangat kecil" dari akun email perusahaan Microsoft, kata perusahaan itu. Perusahaan mengakui beberapa email serta dokumen yang terlampir telah dicuri.

Seorang juru bicara perusahaan mengatakan Microsoft belum bisa memberikan komentar mengenai siapa atau berapa banyak eksekutif senior yang akun emailnya dibobol, namun sedang dalam proses memberi tahu karyawan mana pun yang terkena dampaknya.

“Serangan ini menyoroti risiko berkelanjutan yang ditimbulkan pada semua organisasi dari ancaman negara yang memiliki sumber daya yang baik seperti Midnight Blizzard,” kata Microsoft, seraya menekankan bahwa serangan tersebut bukanlah akibat dari kerentanan spesifik pada produk atau layanannya.

Sejauh ini, Microsoft mengatakan mereka tidak memiliki bukti bahwa kelompok peretas Midnight Blizzard memperoleh akses ke konsumen, sistem produksi, source code, atau sistem AI.

Namun, beberapa peneliti keamanan siber meragukan pernyataan Microsoft di atas. Mereka mempertanyakan apakah layanan Microsoft 365 mungkin rentan atau rentan terhadap serangan teknik serupa?

Salah satu peneliti yang memiliki karier panjang di bidang keamanan siber, Kevin Beaumont, menulis di akun LinkedIn-nya, bahwa staf Microsoft pasti menggunakan Microsoft 365 untuk email. Perusahaan itu dinilai perlu melakukan transformasi teknis dan budaya kerja yang radikan untuk mempertahankan kepercayaan.

Pelanggaran ini mengingatkan kita pada apa yang menimpa Microsoft tahun lalu ketika peretas China yang didukung negara, yang diketahui sebagai Storm-0558, membobol jaringan Microsoft. Selama bulan berikutnya, kelompok tersebut mengakses akun Azure dan Exchange milik beberapa konsumen, beberapa di antaranya milik Departemen Luar Negeri dan Perdagangan AS.