国家黑客组织 Midnight Blizzard 攻击事件中微软的应对措施

微软安全团队于 2024 年 1 月 12 日检测到针对企业系统的国家级攻击，并立即启动了调查、干扰恶意活动、缓解攻击并阻止威胁行为者进一步访问的响应流程。微软将该威胁行为者确定为俄罗斯支持的国家级行为者，也称为 Nobelium 的 Midnight Blizzard。

作为近期 Secure Future Initiative (SFI) 中确认的负责任透明度持续承诺的一部分，我们分享最新信息。

自 2023 年 11 月下旬以来，该威胁行为者使用密码喷洒攻击，入侵了现有的非生产测试租户账户以建立立足点。利用该账户的访问权限，他们访问了极少数微软员工的电子邮件账户，包括高级领导团队成员以及网络安全、法律和其他员工，并提取了一些电子邮件和附件。调查显示，他们最初针对电子邮件账户是为了获取与 Midnight Blizzard 自身相关的信息。目前，我们正在通知电子邮件被访问的员工。

此次攻击并非由于微软产品或服务的漏洞所致。目前，没有证据表明威胁行为者访问了客户环境、生产系统、源代码或 AI 系统。如果客户需要采取行动，我们将通知他们。

这次攻击凸显了像 Midnight Blizzard 这样资源充足的国家级威胁行为者对所有企业构成的持续风险。

正如去年年底宣布 Secure Future Initiative (SFI) 时所提到的，考虑到威胁行为者获得国家资源与资金的情况，我们需要改变在安全与业务风险之间的平衡方式。对微软而言，此次事件凸显了需要更快行动的紧迫性。微软将立即行动，将老旧系统和内部业务流程提升至当前安全标准，即使未来的变更可能对现有业务流程造成干扰。

这一行动可能会在适应新情况的过程中引起混乱。但这是必要的步骤，仅仅是接受这一理念所需步骤的第一步。

微软将继续进行调查，并根据调查结果采取额外措施，并与执法机构和相关监管机构持续合作。我们将分享更多信息和经验，以便社区能从我们对威胁行为者的观察和经历中受益。未来，我们将根据需要提供更多详细信息。