Microsoft dan Hewlett-Packard Enterprise (HPE) baru-baru ini mengungkapkan bahwa mereka mengalami serangan peretasan email korporat oleh para peretas “Midnight Blizzard” yang berasal dari Rusia.
Grup ini, yang terkait dengan intelijen asing SVR Kremlin, secara khusus terkait dengan APT 29 Cozy Bear SVR, geng yang ikut campur dalam pemilihan presiden Amerika Serikat tahun 2016, telah melakukan spionase pemerintah dan korporat agresif di seluruh dunia selama bertahun-tahun, dan berada di balik serangan rantai pasok SolarWinds yang terkenal pada tahun 2021. Meskipun peretasan HP dan Microsoft terungkap dalam beberapa hari yang sama, situasi ini terutama menggambarkan realitas terus-menerus dari aktivitas spionase internasional Midnight Blizzard dan upaya yang akan dilakukannya untuk menemukan kelemahan dalam pertahanan digital organisasi.
“Kita seharusnya tidak terkejut bahwa pelaku ancaman yang didukung oleh intelijen Rusia, terutama SVR, menargetkan perusahaan teknologi seperti Microsoft dan HPE. Dengan organisasi sebesar itu, akan menjadi kejutan besar jika kita mengetahui mereka tidak menjadi target,” kata Jake Williams, mantan peretas Badan Keamanan Nasional AS dan anggota fakultas saat ini di Institute for Applied Network Security.
HP Enterprise mengatakan dalam pengajuan kepada Securities and Exchange Commission AS yang diposting pada hari Rabu bahwa Midnight Blizzard mendapatkan akses ke “lingkungan email berbasis cloud” mereka tahun lalu. Perusahaan pertama kali mengetahui tentang situasi tersebut pada 12 Desember 2023, tetapi mengatakan bahwa serangan dimulai pada Mei 2023. Para peretas “mengakses dan mengambil data … dari sebagian kecil kotak surat HPE milik individu di bidang keamanan siber, pemasaran, segmen bisnis, dan fungsi lainnya,” tulis perusahaan dalam pengajuan SEC. HP Enterprise mengatakan pelanggaran tersebut kemungkinan terjadi sebagai hasil dari insiden lain yang ditemukan pada Juni 2023, di mana Midnight Blizzard juga mengakses dan mengambil file “SharePoint” perusahaan mulai dari Mei 2023. SharePoint adalah platform kolaborasi cloud yang sering menjadi target yang dibuat oleh Microsoft yang terintegrasi dengan Microsoft 365.
“Data yang diakses terbatas pada informasi yang terkandung dalam kotak surat elektronik pengguna HPE,” kata juru bicara HP Enterprise, Adam Bauer, kepada WIRED dalam sebuah pernyataan. “Kami terus menyelidiki dan menganalisis kotak surat ini untuk mengidentifikasi informasi yang dapat diakses dan akan memberikan pemberitahuan yang sesuai sesuai kebutuhan.”
Sementara itu, Microsoft mengatakan pada hari Jumat bahwa mereka mendeteksi intrusi sistem pada 12 Januari yang terkait dengan pelanggaran pada November 2023. Para penyerang menargetkan dan mengompromikan beberapa akun uji sistem Microsoft yang kemudian memungkinkan mereka mengakses “sejumlah kecil akun email korporat Microsoft, termasuk anggota tim pimpinan senior dan karyawan di bidang keamanan siber, hukum, dan fungsi lainnya.” Dari situ, grup tersebut dapat mengambil “beberapa email dan dokumen terlampir.” Microsoft mencatat dalam pengungkapannya bahwa para penyerang tampaknya mencari informasi tentang investigasi dan pengetahuan Microsoft tentang Midnight Blizzard itu sendiri.
“Serangan ini bukan hasil dari kerentanan pada produk atau layanan Microsoft. Hingga saat ini, tidak ada bukti bahwa pelaku ancaman tersebut memiliki akses ke lingkungan pelanggan, sistem produksi, kode sumber, atau sistem kecerdasan buatan,” tulis perusahaan dalam pengungkapannya. “Serangan ini memang menyoroti risiko yang terus-menerus ditimbulkan bagi semua organisasi dari pelaku ancaman negara dengan sumber daya yang cukup seperti Midnight Blizzard.”