Le groupe de pirates russe Midnight Blizzard augmente la pression sur Microsoft

Après avoir expliqué en janvier que des pirates russes du groupe Midnight Blizzard ont réussi à avoir accès aux boites mails de ses dirigeants, Microsoft annonce qu'ils ont, depuis, essayé de récupérer du code source et accéder à des systèmes internes.

Dans un billet de blog publié vendredi 8 mars, Microsoft indique que le groupe de pirates russe Midnight Blizzard (aussi connu sous le nom de Nobelium ou Cozy Bear, par ailleurs accusé de travailler pour un ou plusieurs services de renseignement russe) est toujours très activement en train de cibler la multinationale. Cette fois, leurs cibles sont des dépôts de code source et d'autres systèmes internes, ajoute l'entreprise.

Midnight Blizzard s'appuierait sur sa précédente attaque pour récupérer des données plus importantes : « ces dernières semaines, nous avons obtenu la preuve que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise pour obtenir, ou tenter d'obtenir, un accès non autorisé. Il s'agit notamment d'accéder à certains dépôts de code source et à d'autres systèmes internes de l'entreprise. À ce jour, nous n'avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft aient été compromis », déclare l'entreprise.

Microsoft a aussi prévenu la Securities and Exchange Commission (SEC, l'organisme américain de contrôle des marchés financiers) en utilisant les mêmes termes que dans son billet de blog.

Des conséquences encore floues

L'entreprise ne dit pas clairement si les attaquants ont réussi à accéder aux codes sources qu'ils visaient et elle affirme qu' « à la date du présent rapport, l'incident n'a pas eu d'impact significatif sur les activités de l'entreprise ». Microsoft n'a pas encore évalué les conséquences que pourrait avoir l'attaque sur sa situation financière ou ses résultats d'exploitation.

Mais la multinationale fait clairement le lien entre le piratage de comptes emails internes à l'entreprise et les essais d'infiltration dans ses systèmes qui, selon Microsoft, sont encore en cours. Rappelons que certains comptes emails concernés appartiennent à des dirigeants de Microsoft, à des salariés de son équipe de cybersécurité et de son équipe juridique.

L'attaque par « pulvérisation de mot de passe » s'est passée entre fin décembre 2023 et mi-janvier 2024 sur un ancien compte de test de l'entreprise. Les pirates seraient ensuite remontés petit à petit vers d'autres comptes internes.

L'entreprise explique être en train de passer en revue les emails auxquels ont pu avoir accès les pirates pour vérifier si des informations sensibles y étaient délivrées : « il est évident que Midnight Blizzard tente d'utiliser des informations secrètes de différents types qu'il a trouvés. Certaines de ces informations secrètes ont été partagées entre des clients et Microsoft par emails, et au fur et à mesure que nous les découvrons dans nos courriers électroniques exfiltrés, nous prenons contact avec ces clients pour les aider à prendre des mesures d'atténuation ».

Une attaque impressionnante

Selon le Washington Post, plusieurs responsables de services de renseignement ont été impressionnés par le succès de cette attaque et ont averti des dizaines d'autres victimes. « Ils ont émis des avertissements à l'intention des utilisateurs d'hébergement en cloud, dont MS Office et Outlook, avec des recommandations détaillées [PDF] sur la manière de renforcer leurs installations », explique le journal américain.

Selon la multinationale basée à Redmond, le groupe a multiplié par 10 ses attaques par pulvérisation de mots de passe contre ses systèmes entre janvier et février, alors qu'elles étaient déjà d'un volume important pendant le premier mois de l'année.

Microsoft indique avoir augmenté ses investissements en matière de sécurité, de coordination avec les autres entreprises. « Nous continuons à nous coordonner avec les autorités fédérales chargées de l'application de la loi dans le cadre de l'enquête en cours sur l'acteur de la menace et l'incident », ajoute-t-elle.

Amazon et Google épargnées ?

Le Washington Post fait remarquer qu'Amazon et Google, qui sont aussi des acteurs majeurs du cloud, n'ont pas annoncé de telles augmentations d'attaques ou n'ont pas autant de clients parmi les agences gouvernementales sensibles que Microsoft. Mais, en janvier dernier, Hewlett-Packard a aussi prévenu la SEC qu'elle avait été attaquée par le même groupe de pirates.

Selon le média américain, les intermédiaires de services sont l'un des points sensibles ciblés par les renseignements russes. Interrogé par le Washington Post, Charles Carmakal, directeur de la technologie de l'entreprise de sécurité Mandiant (filiale de Google), explique que « l'une des choses que nous constatons, c'est l'utilisation abusive et continue de petites entreprises qui mettent en place des comptes de messagerie pour de petites organisations. Cela permet à l'acteur de l'attaque de compromettre l'environnement de la petite entreprise et d'obtenir un accès administrateur à tous les messages électroniques qu'elle a créées dans le passé ».