Des pirates chinois ont exploité une faille dans le service de messagerie cloud de Microsoft pour accéder aux comptes de messagerie des employés du gouvernement américain, a confirmé le géant de la technologie.
Le groupe de piratage, suivi sous le nom de Storm-0558, a compromis environ 25 comptes de messagerie, y compris des agences gouvernementales, ainsi que des comptes de consommateurs liés à des personnes associées à ces organisations, selon Microsoft. « Storm » est un surnom utilisé par Microsoft pour suivre les groupes de piratage qui sont nouveaux, émergents ou « en développement ».
Microsoft n’a pas identifié les agences gouvernementales ciblées par Storm-0558. Adam Hodge, porte-parole du Conseil de sécurité nationale de la Maison Blanche, a confirmé à TechCrunch que les agences gouvernementales américaines étaient concernées.
« Le mois dernier, les mesures de protection du gouvernement américain ont identifié une intrusion dans la sécurité du cloud de Microsoft, qui a affecté des systèmes non classifiés », a déclaré Hodge à TechCrunch dans un communiqué. « Les responsables ont immédiatement contacté Microsoft pour trouver la source et la vulnérabilité de leur service cloud. Nous continuons de maintenir les fournisseurs d’approvisionnement du gouvernement américain à un seuil de sécurité élevé.
Le département d’État était l’une des nombreuses agences fédérales compromises, selon le Wall Street Journal. L’État a alerté Microsoft de la violation, rapporte CNN.
L’enquête de Microsoft a déterminé que Storm-0558, un groupe de piratage basé en Chine que l’entreprise décrit comme un adversaire « bien doté », a eu accès à des comptes de messagerie à l’aide d’Outlook Web Access dans Exchange Online (OWA) et Outlook.com en falsifiant des jetons d’authentification. pour accéder aux comptes utilisateurs. Dans son analyse technique de l’attaque, Microsoft a expliqué que les pirates ont utilisé une clé de signature Microsoft acquise pour falsifier des jetons pour accéder à OWA et Outlook.com. Ensuite, les pirates ont exploité un problème de validation de jeton pour se faire passer pour les utilisateurs d’Azure AD et accéder aux comptes de messagerie d’entreprise.
L’activité malveillante de Storm-0885 n’avait pas été détectée pendant environ un mois jusqu’à ce que les clients alertent Microsoft d’une activité de messagerie anormale, a déclaré Microsoft.
« Nous estimons que cet adversaire se concentre sur l’espionnage, comme l’accès aux systèmes de messagerie électronique pour la collecte de renseignements. Ce type d’adversaire motivé par l’espionnage cherche à abuser des informations d’identification et à accéder aux données résidant dans des systèmes sensibles », a déclaré Charlie Bell, responsable de la cybersécurité chez Microsoft.
Microsoft a déclaré que l’attaque avait été atténuée avec succès et que Storm-0558 n’avait plus accès aux comptes compromis. Cependant, la société n’a pas précisé si des données sensibles avaient été exfiltrées au cours de la période d’un mois à laquelle les attaquants avaient accès.
L’agence américaine de cybersécurité CISA a déclaré dans un avis que les attaquants avaient accédé à des données de courrier électronique non classifiées.
Lors d’un briefing auquel a assisté TechCrunch mercredi, un haut responsable du FBI, qui a décrit l’intrusion d’un mois comme une « campagne ciblée », a refusé de confirmer le nombre total de victimes, mais a déclaré que le nombre d’agences gouvernementales concernées était à « un seul chiffre ». .” Le responsable a refusé de nommer les agences concernées.
Bien que l’impact global de l’incident reste inconnu, un haut responsable de la CISA a ajouté que l’agence avait déterminé qu’un acteur soutenu par le gouvernement – que le gouvernement américain n’attribue pas encore à la Chine – avait exfiltré une « quantité limitée » de données Exchange Online.
La CISA et le FBI exhortent toute organisation qui détecte une activité anormale dans Microsoft 365 à la signaler aux agences.
Mise à jour avec le contexte du FBI et de la CISA.