附录 99.1

微软在国家演员午夜暴雪发动攻击后采取行动

微软安全团队于 2024 年 1 月 12 日检测到对我们公司系统的民族国家攻击，并立即启动了我们的响应流程 以调查、破坏恶意活动、缓解攻击，并拒绝威胁行为者进一步访问。微软已将威胁行为者确定为午夜暴雪，这是俄罗斯国家赞助的演员，也被称为Nobelium。作为我们对负责任透明度的持续承诺的一部分，我们最近在 “安全未来倡议”（SFI）中确认了这一点，我们将分享此更新。

从 2023 年 11 月下旬开始，该威胁行为者使用密码喷雾攻击入侵了传统的非生产 测试租户账户并站稳了脚跟，然后使用该账户权限访问了极小比例的微软公司电子邮件帐户，包括我们的高级领导团队成员和网络安全、法律、 和其他职能部门的员工，并泄露了一些电子邮件和所附文档。调查显示，他们最初的目标是电子邮件帐户，以获取与午夜暴雪本身相关的信息。我们正在通知其 电子邮件被访问的员工。

该攻击不是由微软产品或服务中的漏洞造成的。迄今为止，没有证据表明威胁 行为者可以访问客户环境、生产系统、源代码或 AI 系统。如果需要采取任何措施，我们将通知客户。

这次 攻击确实凸显了午夜暴雪等资源充足的民族国家威胁行为者对所有组织构成的持续风险。

正如我们 去年年底在宣布安全未来倡议（SFI）时所说的那样，鉴于威胁行为者由民族国家提供资源和资金的现实，我们正在改变安全和商业风险之间所需的平衡 传统的计算方式已经不够了。对于微软来说，这起事件凸显了迫切需要加快步伐。我们将立即采取行动，将我们当前的安全标准应用于微软拥有的旧系统和 内部业务流程，即使这些更改可能会干扰现有业务流程。

在我们适应这一新现实的过程中，这可能会造成一定程度的 干扰，但这是必要的一步，也是我们为接受这一理念而采取的几个步骤中的第一步。

We are continuing our investigation and will take additional actions based on the outcomes of this investigation and will continue working with law enforcement and appropriate regulators. We are deeply committed to sharing more information and our learnings, so that the community can benefit from both our experience and observations about the threat actor. We will provide additional details as appropriate.