微软在上周五（3月8日）披露消息，称具有俄罗斯背景的APT组织午夜暴风雪（又名APT29或Cozy Bear），在2024年1月的黑客攻击事件中，访问了微软部分源代码库和内部系统，但并没有发现微软托管系统和用户发生安全事件。同时该公司指出，在最近几周内已经发现，午夜暴风雪正在利用此前窃取的信息来试图获得未授权的访问。

目前，微软正在继续调查安全漏洞的范围，并且已经和可能受影响的用户进行沟通，但未向外界公布具体哪些源代码和机密信息被窃取。

微软表示，公司已经增加了安全领域的投资，并注意到攻击风险正在持续上升，与1月份观察到的“很大体量攻击”相比，黑客2月份针对微软的密码喷涂攻击活动增加了整整10倍。

微软进一步指出，午夜暴风雪的持续攻击特点是威胁行动者的资源、协调和专注的持续、显著的投入。该组织可能正在使用它所获得的信息来积累攻击领域的力量，增强其攻击能力，这反映了全球威胁环境变得前所未有复杂。

消息显示，微软的安全漏洞发生在2023年11月，午夜暴风雪利用密码喷涂攻击成功渗透了一个遗留的、非生产测试账户，该账户未启用多因素认证（MFA）。

这家科技巨头在1月底透露，午夜暴风雪通过利用从盗取凭证到供应链攻击的多种初始访问方法，针对其他组织进行了攻击。午夜暴风雪被认为是俄罗斯外情局（SVR）的一部分，自2008年起活跃，该APT组织是最多产和最复杂的黑客团伙之一，曾经渗透了SolarWinds等高调目标。

Tenable的首席执行官Amit Yoran在与The Hacker News分享的一份声明指出，微软被午夜暴风雪攻破是一个战略性打击。午夜暴风雪不是一些小规模的犯罪团伙，他们是一个高度专业的、得到俄罗斯支持的团队，他们完全理解所暴露的数据的价值，以及如何最好地利用这些数据造成最大的伤害。微软的无处不在要求它承担更高水平的责任和透明度，即使现在他们也没有分享全部的真相。例如我们还不知道哪些源代码已经被泄露，这些安全漏洞并不是彼此孤立的，微软的不良安全做法和误导性声明可能会模糊全部真相。

参考链接：https://thehackernews.com/2024/03/microsoft-confirms-russian-hackers.html