HPE heeft onthuld dat het door hackers in dienst van Rusland is geïnfiltreerd. Een “klein percentage” van HPE-e-mailgegevens is gestolen, met getroffen individuen verspreid over het gehele bedrijf.
De e-mailinformatie is afkomstig van medewerkers uit onder andere de cybersecurity-, go-to-market en business-segmenten. De aanvallers, bekend onder de Midnight Blizzard/Nobelium, hebben verschillende bekende hacks veroorzaakt, waaronder die op SolarWinds, de Amerikaanse politieke organisatie DNC en Microsoft.
Tip: Rusland valt Microsoft digitaal aan: mailaccounts ‘senior leadership’ gehackt
SharePoint als attack vector
In een bijdrage aan de Amerikaanse SEC geeft HPE enkele details over de hack. Het bedrijf stelt dat de aanvallers toegang tot data verkregen vanaf mei 2023 en e-mailgegevens weg wisten te sluizen. De genoemde e-mailaccounts zouden via een gecompromitteerd account toegang tot HPE’s Office 365-mailomgeving hebben verkregen.
Naar alle waarschijnlijkheid is het incident gerelateerd aan een eerder bekende infiltratie van Midnight Blizzard. In juni 2023 ontdekte HPE dat een “beperkt aantal SharePoint-bestanden” buitgemaakt was. Dat roept wel enige vraagtekens op, aangezien HPE in juni de nodige stappen zou hebben gezet om de kwaadaardige activiteit stop te zetten. Desondanks kon dezelfde groep lang onopgemerkt persoonlijke data vanuit HPE stelen.
De gecompromitteerde gegevens zouden beperkt zijn gebleven tot enkel de mailboxen van de getroffen gebruikers. HPE weet nog niet zeker hoeveel accounts gecompromitteerd waren, vertelt een woordvoerder aan TechCrunch.
Met Microsoft-incident verbonden? HPE weet het niet
HPE is niet op de hoogte van alle details van het Microsoft-incident en kan dus niet constateren of het eigen voorval ermee verbonden is. Bij Microsoft wist Midnight Blizzard de accounts van hooggeplaatste executives te compromitteren door middel van een password spray attack, dat talloze wachtwoorden probeert te gebruiken om bij een account binnen te komen.
Wel is er hoe dan ook een overeenkomst met de Microsoft-hack: het feit dat de hackers maanden hun gang konden gaan. We constateerden bij dat incident dat het vermoedelijk om een uit het oog verloren account ging, waarna andere corporate-accounts lateraal werden aangevallen. De woordkeuze van HPE is vergelijkbaar, maar is nog beknopter dan die van Microsoft. Het gaat hier immers niet om een blogpost, maar een SEC-bijdrage. Via de HPE Newsroom en andere kanalen blijft het vooralsnog stil. Andere verklaringen, zoals gegeven aan TechCrunch en BleepingComputer, zijn simpelweg anders geformuleerde bevestigingen van wat er in de SEC-tekst stond.
Lees ook: Wat betekent de overname van Juniper door HPE voor de netwerkmarkt?
23 uur geleden
