A Microsoft elismerte, hogy orosz támadók sikeresen behatoltak a hálózatába és belső e-maileket, illetve fájlokat loptak el különféle vezetőktől és egyéb munkatársaktól.

A támadást a Midnight Blizzard nevű csoport - korábban APT29 vagy Cozy Bear néven is hivatkoztak rájuk - követte el. Az úgynevezett utilized password spray attack technika, miszerint kijátszva a bruteforce elleni védelmeket, és radar alatt maradva próbálgatják kitalálni a feltételezett gyengén védett fiókok jelszavát.

Minden kísérlet után kivárnak, és csak egy idő után következik az újabb ténykedés egy másik jelszóval, így a védelem nem észlel rövid időn belül több sikertelen bejelentkezést, ami abszolút gyanús jel lenne.

Ha a gyengén védett korlátozott fiókba történő behatolás végül sikeres, akkor pedig a cél a jogosultság növelése, új fiókok regisztrálása, admin jogok megszerzése, és bizalmas adatok kinyerése, ami jelen esetben a Microsoft felső vezetőinek és egyéb alkalmazottainak vállalati postaládájából való levelekhez való hozzáférést jelentette.

A jelek szerint a Cozy Bear a lakossági széles sávú hálózatokat használta proxyként, hogy úgy nézzen ki a forgalmuk, mintha az IP címek valódi, otthonról dolgozóktól származó legitim forgalom lenne.

Az eset külön érdekessége, hogy az incidensben érintett feltört vállalati fiók még csak nem is rendelkezett többtényezős hitelesítéssel. Hogy a kötelező Microsoft policy irányelvek és útmutatások ellenére ez hogy történhetett meg, arra az a válaszuk, hogy ez egy korábban létrehozott fiók. Ez a bizonyos fejlesztői tesztfióknak nevezett account segítségével viszont adminisztrátori szintű hozzáférést lehetett létrehozni belső hálózatok éles szervereihez.

Reméljük, érdekességképpen egyszer kiderül majd az is, hogy mi volt ennek a bizonyos fióknak a jelszava, remélhetőleg nem "microsoft123".