微軟遭俄羅斯駭客竊取程式碼、存取內部系統

今年1月微軟公布遭到俄羅斯駭客組織存取公司郵件系統及員工信件，上周該公司表示，俄國駭客已經取得其程式碼、以及存取公司內部系統。但微軟仍然說沒有證據有面對客戶的系統遭駭。

1月間公布的事件中，俄羅斯駭客組織Midnight Blizzard（又名Nobelium）透過密碼潑灑（password spray）手法取得微軟一個舊版軟體的測試租戶帳號，再利用該帳號權限存取多名員工及高層主管的Exchange系統及信件。上周微軟就此事件再提供更新。

微軟這幾周來發現Midnight Blizzard利用1月事件從員工信件取得的資訊，試圖或成功存取微軟系統。微軟發現駭客已經存取了公司部分程式原始碼庫及內部系統，但他們迄今仍未發現微軟代管、面向客戶的系統被駭入的證據。

微軟相信Midnight Blizzard正在利用各種密碼或憑證為禍，包括客戶和微軟信件中的機密。雖然微軟強調已經通知客戶，並協助客戶防範攻擊，但表示，這群駭客2月間正以年初攻擊手法如密碼潑灑的10倍強度發動攻擊。微軟說，Midnight Blizzard持續攻擊顯示其豐富資源、精密協調和專注性，他們可利用手中掌握的資訊擴大攻擊面及提升攻擊能力，這前所未見的威脅現在卻愈來愈普及。

根據微軟對美國證管會的報告，這波行動並未對公司財務有實質影響。