Le groupe de pirates russe Midnight Blizzard augmente la pression sur Microsoft
Une fuite dans le nuage
Après avoir expliqué en janvier que des pirates russes du groupe Midnight Blizzard ont réussi à avoir accès aux boites mails de ses dirigeants, Microsoft annonce qu'ils ont, depuis, essayé de récupérer du code source et accéder à des systèmes internes.
Le 11 mars à 14h48
5 min
Sécurité
Sécurité
Dans un billet de blog publié vendredi 8 mars, Microsoft indique que le groupe de pirates russe Midnight Blizzard (aussi connu sous le nom de Nobelium ou Cozy Bear, par ailleurs accusé de travailler pour un ou plusieurs services de renseignement russe) est toujours très activement en train de cibler la multinationale. Cette fois, leurs cibles sont des dépôts de code source et d'autres systèmes internes, ajoute l'entreprise.
Midnight Blizzard s'appuierait sur sa précédente attaque pour récupérer des données plus importantes : « ces dernières semaines, nous avons obtenu la preuve que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise pour obtenir, ou tenter d'obtenir, un accès non autorisé. Il s'agit notamment d'accéder à certains dépôts de code source et à d'autres systèmes internes de l'entreprise. À ce jour, nous n'avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft aient été compromis », déclare l'entreprise.
Microsoft a aussi prévenu la Securities and Exchange Commission (SEC, l'organisme américain de contrôle des marchés financiers) en utilisant les mêmes termes que dans son billet de blog.
Des conséquences encore floues
L'entreprise ne dit pas clairement si les attaquants ont réussi à accéder aux codes sources qu'ils visaient et elle affirme qu' « à la date du présent rapport, l'incident n'a pas eu d'impact significatif sur les activités de l'entreprise ». Microsoft n'a pas encore évalué les conséquences que pourrait avoir l'attaque sur sa situation financière ou ses résultats d'exploitation.
Mais la multinationale fait clairement le lien entre le piratage de comptes emails internes à l'entreprise et les essais d'infiltration dans ses systèmes qui, selon Microsoft, sont encore en cours. Rappelons que certains comptes emails concernés appartiennent à des dirigeants de Microsoft, à des salariés de son équipe de cybersécurité et de son équipe juridique.
L'attaque par « pulvérisation de mot de passe » s'est passée entre fin décembre 2023 et mi-janvier 2024 sur un ancien compte de test de l'entreprise. Les pirates seraient ensuite remontés petit à petit vers d'autres comptes internes.
L'entreprise explique être en train de passer en revue les emails auxquels ont pu avoir accès les pirates pour vérifier si des informations sensibles y étaient délivrées : « il est évident que Midnight Blizzard tente d'utiliser des informations secrètes de différents types qu'il a trouvés. Certaines de ces informations secrètes ont été partagées entre des clients et Microsoft par emails, et au fur et à mesure que nous les découvrons dans nos courriers électroniques exfiltrés, nous prenons contact avec ces clients pour les aider à prendre des mesures d'atténuation ».
Une attaque impressionnante
Selon le Washington Post, plusieurs responsables de services de renseignement ont été impressionnés par le succès de cette attaque et ont averti des dizaines d'autres victimes. « Ils ont émis des avertissements à l'intention des utilisateurs d'hébergement en cloud, dont MS Office et Outlook, avec des recommandations détaillées [PDF] sur la manière de renforcer leurs installations », explique le journal américain.
Selon la multinationale basée à Redmond, le groupe a multiplié par 10 ses attaques par pulvérisation de mots de passe contre ses systèmes entre janvier et février, alors qu'elles étaient déjà d'un volume important pendant le premier mois de l'année.
Microsoft indique avoir augmenté ses investissements en matière de sécurité, de coordination avec les autres entreprises. « Nous continuons à nous coordonner avec les autorités fédérales chargées de l'application de la loi dans le cadre de l'enquête en cours sur l'acteur de la menace et l'incident », ajoute-t-elle.
Amazon et Google épargnées ?
Le Washington Post fait remarquer qu'Amazon et Google, qui sont aussi des acteurs majeurs du cloud, n'ont pas annoncé de telles augmentations d'attaques ou n'ont pas autant de clients parmi les agences gouvernementales sensibles que Microsoft. Mais, en janvier dernier, Hewlett-Packard a aussi prévenu la SEC qu'elle avait été attaquée par le même groupe de pirates.
Selon le média américain, les intermédiaires de services sont l'un des points sensibles ciblés par les renseignements russes. Interrogé par le Washington Post, Charles Carmakal, directeur de la technologie de l'entreprise de sécurité Mandiant (filiale de Google), explique que « l'une des choses que nous constatons, c'est l'utilisation abusive et continue de petites entreprises qui mettent en place des comptes de messagerie pour de petites organisations. Cela permet à l'acteur de l'attaque de compromettre l'environnement de la petite entreprise et d'obtenir un accès administrateur à tous les messages électroniques qu'elle a créées dans le passé ».
Le groupe de pirates russe Midnight Blizzard augmente la pression sur Microsoft
-
Des conséquences encore floues
-
Une attaque impressionnante
-
Amazon et Google épargnées ?
Commentaires (9)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousModifié le 11/03/2024 à 17h27
La boîte qui developpe l'outil Ccleaner a déjà eu une attaque comme cela. Donc bien que cela soit une autre paire de manches de faire pareil à Microsoft. Je me dis que ce n'est certainement qu'une question de temps avant qu'il subise un jour cela.
En tout cas, C'est une suposition de part.
Le 11/03/2024 à 17h48
Le 11/03/2024 à 18h12
Donc finalement tout dépend de la rapidité Microsoft à repérer l'anomalie éventuelle.
Après j'ose espérer que leur département de la sécurité a déjà envisagé cette stratégie d'attaque
Modifié le 12/03/2024 à 03h54
Non seulement ça permet de compromettre des machines de dev, mais aussi des machines de build, qui vont ensuite assembler, certifier et distribuer des logiciels infectés.
En face, trop peu d'entreprises vérifient et restreignent leurs briques logicielles, car ça demande de sacrés moyens, et c'est super hyper mega relou côté dev.
Le 12/03/2024 à 11h42
Et surtout, tu passes ensuite inaperçu avec un accès full à la machine/
Le 11/03/2024 à 19h24
Ce qui ne fait pas partie du groupe Alphabet est forcément petit ?
Le 12/03/2024 à 05h34
Le 12/03/2024 à 08h25
Le 12/03/2024 à 11h40