Connexion
Abonnez-vous

Le groupe de pirates russe Midnight Blizzard augmente la pression sur Microsoft

Une fuite dans le nuage

Le groupe de pirates russe Midnight Blizzard augmente la pression sur Microsoft

Après avoir expliqué en janvier que des pirates russes du groupe Midnight Blizzard ont réussi à avoir accès aux boites mails de ses dirigeants, Microsoft annonce qu'ils ont, depuis, essayé de récupérer du code source et accéder à des systèmes internes.

Le 11 mars à 14h48

Dans un billet de blog publié vendredi 8 mars, Microsoft indique que le groupe de pirates russe Midnight Blizzard (aussi connu sous le nom de Nobelium ou Cozy Bear, par ailleurs accusé de travailler pour un ou plusieurs services de renseignement russe) est toujours très activement en train de cibler la multinationale. Cette fois, leurs cibles sont des dépôts de code source et d'autres systèmes internes, ajoute l'entreprise.

Midnight Blizzard s'appuierait sur sa précédente attaque pour récupérer des données plus importantes : « ces dernières semaines, nous avons obtenu la preuve que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise pour obtenir, ou tenter d'obtenir, un accès non autorisé. Il s'agit notamment d'accéder à certains dépôts de code source et à d'autres systèmes internes de l'entreprise. À ce jour, nous n'avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft aient été compromis », déclare l'entreprise.

Microsoft a aussi prévenu la Securities and Exchange Commission (SEC, l'organisme américain de contrôle des marchés financiers) en utilisant les mêmes termes que dans son billet de blog.

Des conséquences encore floues

L'entreprise ne dit pas clairement si les attaquants ont réussi à accéder aux codes sources qu'ils visaient et elle affirme qu' « à la date du présent rapport, l'incident n'a pas eu d'impact significatif sur les activités de l'entreprise ». Microsoft n'a pas encore évalué les conséquences que pourrait avoir l'attaque sur sa situation financière ou ses résultats d'exploitation.

Mais la multinationale fait clairement le lien entre le piratage de comptes emails internes à l'entreprise et les essais d'infiltration dans ses systèmes qui, selon Microsoft, sont encore en cours. Rappelons que certains comptes emails concernés appartiennent à des dirigeants de Microsoft, à des salariés de son équipe de cybersécurité et de son équipe juridique.

L'attaque par « pulvérisation de mot de passe » s'est passée entre fin décembre 2023 et mi-janvier 2024 sur un ancien compte de test de l'entreprise. Les pirates seraient ensuite remontés petit à petit vers d'autres comptes internes.

L'entreprise explique être en train de passer en revue les emails auxquels ont pu avoir accès les pirates pour vérifier si des informations sensibles y étaient délivrées : « il est évident que Midnight Blizzard tente d'utiliser des informations secrètes de différents types qu'il a trouvés. Certaines de ces informations secrètes ont été partagées entre des clients et Microsoft par emails, et au fur et à mesure que nous les découvrons dans nos courriers électroniques exfiltrés, nous prenons contact avec ces clients pour les aider à prendre des mesures d'atténuation ».

Une attaque impressionnante

Selon le Washington Post, plusieurs responsables de services de renseignement ont été impressionnés par le succès de cette attaque et ont averti des dizaines d'autres victimes. « Ils ont émis des avertissements à l'intention des utilisateurs d'hébergement en cloud, dont MS Office et Outlook, avec des recommandations détaillées [PDF] sur la manière de renforcer leurs installations », explique le journal américain.

Selon la multinationale basée à Redmond, le groupe a multiplié par 10 ses attaques par pulvérisation de mots de passe contre ses systèmes entre janvier et février, alors qu'elles étaient déjà d'un volume important pendant le premier mois de l'année.

Microsoft indique avoir augmenté ses investissements en matière de sécurité, de coordination avec les autres entreprises. « Nous continuons à nous coordonner avec les autorités fédérales chargées de l'application de la loi dans le cadre de l'enquête en cours sur l'acteur de la menace et l'incident », ajoute-t-elle.

Amazon et Google épargnées ?

Le Washington Post fait remarquer qu'Amazon et Google, qui sont aussi des acteurs majeurs du cloud, n'ont pas annoncé de telles augmentations d'attaques ou n'ont pas autant de clients parmi les agences gouvernementales sensibles que Microsoft. Mais, en janvier dernier, Hewlett-Packard a aussi prévenu la SEC qu'elle avait été attaquée par le même groupe de pirates.

Selon le média américain, les intermédiaires de services sont l'un des points sensibles ciblés par les renseignements russes. Interrogé par le Washington Post, Charles Carmakal, directeur de la technologie de l'entreprise de sécurité Mandiant (filiale de Google), explique que « l'une des choses que nous constatons, c'est l'utilisation abusive et continue de petites entreprises qui mettent en place des comptes de messagerie pour de petites organisations. Cela permet à l'acteur de l'attaque de compromettre l'environnement de la petite entreprise et d'obtenir un accès administrateur à tous les messages électroniques qu'elle a créées dans le passé ».

Commentaires (9)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Je me suis toujours demandé si un jour, des acteurs malveillants comme "Midnight Blizzard" arriverait-il un jour à infiltrer et exploiter Windows update pour diffuser des malwares au grand public (où tout du moins à des gens ciblés). Se servir des mises à jours de "sécurité pour diffuser des malwares entacherait grandement Microsoft et la confiance "relative" qu'on peut avoir envers l'entreprise.

La boîte qui developpe l'outil Ccleaner a déjà eu une attaque comme cela. Donc bien que cela soit une autre paire de manches de faire pareil à Microsoft. Je me dis que ce n'est certainement qu'une question de temps avant qu'il subise un jour cela.

En tout cas, C'est une suposition de part.
votre avatar
En tout cas, ici, ils semblent porter un intérêt aux sources de Windows pour les"récupérer" : ça peut aider à trouver d'autre vulnérabilités. Je pense que c'est encore plus complexe de les modifier sans se faire repérer et que Microsoft envoie ensuite des mises à jour compromises à ses clients.
votre avatar
En restant dans la supposition bien sur. Un attaquant qui veut infiltrer les mises à jour Windows a tout interer à rester discret pour infiltrer le plus grand nombre possible avant de se faire repérer par Microsoft.

Donc finalement tout dépend de la rapidité Microsoft à repérer l'anomalie éventuelle.
Après j'ose espérer que leur département de la sécurité a déjà envisagé cette stratégie d'attaque
votre avatar
Infecter des dépôts NPM (celui là c'est un gros sujet...), Pip etc est bien plus simple, c'est surtout déjà arrivé 😁 et c'est parfois passé inaperçu pas mal de temps.
Non seulement ça permet de compromettre des machines de dev, mais aussi des machines de build, qui vont ensuite assembler, certifier et distribuer des logiciels infectés.
En face, trop peu d'entreprises vérifient et restreignent leurs briques logicielles, car ça demande de sacrés moyens, et c'est super hyper mega relou côté dev.
votre avatar
Tu peux aussi attaquer un poste, le rediriger vers un dépot WindowsUpdatedVariol et là c'est crème parce que tu modifie tout le système, y compris les outils de restauration

Et surtout, tu passes ensuite inaperçu avec un accès full à la machine/
votre avatar
Microsoft, une petite entreprise intermédiaire ????
Ce qui ne fait pas partie du groupe Alphabet est forcément petit ?
votre avatar
Je ne vois pas où tu as lu ça.
votre avatar
Oui, une citation serait la bienvenue
votre avatar
Je pense qu'il fait référence à (mais mal compris) :
Selon le média américain, les intermédiaires de services sont l’un des points sensibles ciblés par les renseignements russes.

Le groupe de pirates russe Midnight Blizzard augmente la pression sur Microsoft

  • Des conséquences encore floues

  • Une attaque impressionnante

  • Amazon et Google épargnées ?

Fermer