Microsoft a récemment révélé une attaque menée par un État-nation contre ses systèmes d’entreprise par des pirates informatiques parrainés par l’État russe. Il s’avère que le fabricant de Windows n’était pas la seule cible de cette campagne de piratage. Le même groupe d’attaquants cible également d’autres organisations.
Microsoft fait la lumière sur la récente attaque russe
Le 12 janvier, l’équipe de sécurité de Microsoft a détecté une faille dans ses systèmes d’entreprise et a immédiatement activé son processus de réponse pour atténuer l’attaque. Une enquête interne a révélé que le groupe de hackers Nobelium, soupçonné de travailler pour le service russe de renseignement extérieur, était à l’origine de l’attaque. Le groupe a également mené l’attaque sophistiquée SolarWinds en 2020.
Microsoft a qualifié les attaquants de Midnight Blizzard. D’autres noms de pirates informatiques incluent Cozy Bear, APT29 et The Dukes. Selon l’entreprise, l’attaque a commencé fin novembre de l’année dernière et n’était pas le résultat d’une vulnérabilité dans ses produits ou services. Au lieu de cela, les attaquants « ont utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire de test hors production » afin d’accéder à ses systèmes.
Dans cette attaque, les acteurs malveillants tentent de se connecter aux comptes en utilisant les mots de passe les plus populaires ou les plus probables. Le compte compromis n’avait pas d’authentification multifacteur (MFA), ce qui a facilité la tâche des pirates. Midnight Blizzard a également utilisé d’autres techniques pour échapper à la détection et éviter les blocages de comptes, notamment « le lancement de ces attaques à partir d’une infrastructure proxy résidentielle distribuée ».
Ces techniques ont obscurci leur activité, leur permettant de poursuivre l’attaque jusqu’à ce qu’elle réussisse. La violation a révélé les comptes de messagerie d’entreprise d’un « très petit pourcentage » d’employés de Microsoft dans diverses divisions internes, notamment en matière de cybersécurité et juridique. Le géant de la technologie a découvert que Midnight Blizzard ciblait initialement les comptes de messagerie pour obtenir des informations le concernant. Les attaquants voulaient apparemment découvrir ce que Microsoft savait d’eux.
Le groupe cible davantage d’organisations
Dans un nouveau billet de blog, Microsoft a révélé que Midnight Blizzard ciblait également d’autres organisations, probablement avec une intention similaire. La société n’a pas nommé les organisations susceptibles d’être attaquées par des pirates informatiques parrainés par l’État russe, mais a déclaré qu’elle avait déjà commencé à les informer. Il a ajouté que l’enquête était toujours en cours. Le fabricant de Windows prévoit de partager plus de détails, le cas échéant.
Pendant ce temps, Hewlett Packard Enterprise (HPE) a récemment révélé que Midnight Blizzard avait obtenu un accès non autorisé à son environnement de messagerie basé sur le cloud, hébergé par Microsoft. Cette attaque pourrait faire partie de la même campagne d’espionnage menée par les pirates russes. Au moment d’écrire ces lignes, rien n’indique que ces attaques ont compromis les données des clients. Nous y resterons attentifs et vous informerons dès que nous aurons plus d’informations.
