L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a confirmé que des pirates informatiques soutenus par le gouvernement russe ont volé des courriels de plusieurs agences fédérales américaines à la suite d’une cyberattaque en cours contre Microsoft.
Dans un communiqué publié jeudi, l’agence américaine de cybersécurité a déclaré que la cyberattaque, initialement divulguée par Microsoft en janvier, avait permis aux pirates informatiques de voler les courriels du gouvernement fédéral « grâce à une compromission réussie des comptes de messagerie d’entreprise de Microsoft ».
Les pirates, que Microsoft appelle « Midnight Blizzard », également connus sous le nom d’APT29, sont largement soupçonnés de travailler pour le service russe de renseignement extérieur, ou SVR.
« La compromission réussie des comptes de messagerie d’entreprise Microsoft par Midnight Blizzard et l’exfiltration de la correspondance entre les agences et Microsoft présentent un risque grave et inacceptable pour les agences », a déclaré CISA.
L’agence fédérale de cybersécurité a déclaré avoir publié le 2 avril une nouvelle directive d’urgence ordonnant aux agences gouvernementales civiles de prendre des mesures pour sécuriser leurs comptes de messagerie, sur la base de nouvelles informations selon lesquelles les pirates informatiques russes intensifiaient leurs intrusions. La CISA a rendu publics les détails de la directive d’urgence jeudi après avoir donné une semaine aux agences fédérales concernées pour réinitialiser les mots de passe et sécuriser les systèmes concernés.
La CISA n’a pas nommé les agences fédérales concernées qui se sont fait voler des e-mails, et un porte-parole de la CISA n’a pas immédiatement commenté lorsqu’il a été contacté par TechCrunch.
La nouvelle de la directive d’urgence a été rapportée pour la première fois par Cyberscoop la semaine dernière.
La directive d’urgence intervient alors que Microsoft fait face à une surveillance croissante de ses pratiques de sécurité après une vague d’intrusions de pirates informatiques de pays adversaires. Le gouvernement américain dépend fortement du géant du logiciel pour héberger les comptes de messagerie gouvernementaux.
Microsoft a été rendu public en janvier après avoir identifié que le groupe de piratage russe s’était introduit dans certains systèmes de messagerie d’entreprise, y compris les comptes de messagerie de « l’équipe de direction et des employés de nos fonctions de cybersécurité, juridiques et autres ». Microsoft a déclaré que les pirates russes cherchaient des informations sur ce que Microsoft et ses équipes de sécurité savaient sur les pirates eux-mêmes. Plus tard, le géant de la technologie a déclaré que les pirates avaient également ciblé d’autres organisations en dehors de Microsoft.
On sait désormais que certaines des organisations concernées comprenaient des agences gouvernementales américaines.
En mars, Microsoft a déclaré qu’il poursuivait ses efforts pour expulser les pirates informatiques russes de ses systèmes, dans le cadre de ce que la société a décrit comme une « attaque en cours ». Dans un article de blog, la société a déclaré que les pirates tentaient d’utiliser des « secrets » qu’ils avaient initialement volés afin d’accéder à d’autres systèmes internes de Microsoft et d’exfiltrer davantage de données, telles que le code source.
Microsoft n’a pas immédiatement commenté lorsque TechCrunch lui a demandé jeudi quels étaient les progrès réalisés par l’entreprise pour remédier à l’attaque depuis mars.
Plus tôt ce mois-ci, le Cyber Safety Review Board (CSRB) des États-Unis a conclu son enquête sur une violation survenue en 2023 dans les courriels du gouvernement américain attribuée à des pirates informatiques soutenus par le gouvernement chinois. Le CSRB, un organisme indépendant qui comprend des représentants du gouvernement et des experts en cybersécurité du secteur privé, a imputé la responsabilité à une « cascade de failles de sécurité chez Microsoft ». Ceux-ci ont permis aux pirates informatiques soutenus par la Chine de voler une clé de messagerie sensible qui permettait un large accès aux courriers électroniques des consommateurs et du gouvernement.
En février, le ministère américain de la Défense a informé 20 000 personnes que leurs informations personnelles avaient été exposées sur Internet après qu’un serveur de messagerie cloud hébergé par Microsoft soit resté sans mot de passe pendant plusieurs semaines en 2023.