마이크로소프트는 2024년 1월 APT29 등으로도 알려진 러시아 국가 지원을 받는 해커 집단인 미드나이트 블리자드(Midnight Blizzard)로부터 해킹을 받았다고 발표했다. 또 마이크로소프트는 3월 8일 속보에서 미드나이트 블리자드가 해킹으로부터 얻은 정보를 활용해 네트워크에 침입해 소스 코드와 내부 시스템을 침해했다고 보고했다.
마이크로소프트가 1월 발표한 미드나이트 블리자드 해킹에선 직원 이메일 계정이 암호 스프레이 공격에 의해 침해되어 메일이나 첨부파일 등이 유출됐다.
패스워드 스프레이(Password Spray) 공격이란 복수 계정에 대해 자주 사용되는 암호로의 로그인을 시도한다는 것. 2요소 인증을 사용하면 위험을 줄일 수 있지만 공격 대상이 된 기존 비운영 테스트 테넌트 계정 그러니까 폐지된 뒤 삭제되지 않은 채 남아 있는 계정에선 2요소 인증이 활성화되지 않았다.
더구나 마이크로소프트는 이번 발표에서 미드나이트 블리자드가 최근 몇 주간 무단 액세스를 하거나 무단 액세스를 시도하기 위해 기업 이메일 시스템에서 처음으로 유출된 정보를 사용하고 있다는 증거를 확인했다며 이는 소스 코드 저장소와 내부 시스템 일부에 대한 액세스를 포함하고 있다고 밝혔다.
지금까지 마이크로소프트가 호스팅하는 고객 시스템이 침해됐다는 증거는 발견되지 않았지만 미드나이트 블리자드는 이전에 얻은 정보를 후속 공격에 계속 악용했다며 패스워드 스프레이 공격 빈도를 더 높이고 있다고 보고했다. 보도에선 이는 계정에 로그인하는데 사용된 비밀번호가 이전 침해로 수집된 자격증명으로 추측할 수 있을 만큼 취약하다는 걸 의미한다는 지적이다.
마이크로소프트는 미드나이트 블리자드가 민감한 정보를 사용하려고 하는 게 분명하다는 점과 이런 민감한 부분 일부가 유출된 마이크로소프트와 고객간에 교환된 이메일로 공유됐다며 고객에게 연락을 취하고 대책 강구를 지원하고 있다고 한다.
기밀이 뭔지를 말하는지는 밝혀지지 않았지만 보도에선 인증 토큰, API 키 또는 자격증명 가능성이 있다고 한다. 마이크로소프트는 미드나이트 블리자드에서 현재 공격을 받는 특징은 위협 액터가 풍부한 자원과 조정 능력을 중점 투입하고 있다는 점이라며 이는 고급 국가 공격이라는 점에서 전례 없는 글로벌 위협이 높아지는 상황을 반영한다고 지적했다. 관련 내용은 이곳에서 확인할 수 있다.