Microsoft a déclaré que les pirates informatiques soutenus par le Kremlin qui ont piraté son réseau d’entreprise en janvier ont étendu leur accès depuis lors à des attaques ultérieures ciblant les clients et ayant compromis le code source et les systèmes internes de l’entreprise.
L’intrusion, révélée par l’éditeur de logiciels en janvier, a été réalisée par Midnight Blizzard, nom utilisé pour traquer un groupe de hackers largement attribué au Service fédéral de sécurité, une agence de renseignement russe. Microsoft avait déclaré à l’époque que Midnight Blizzard avait eu accès aux comptes de messagerie des cadres supérieurs pendant des mois après avoir exploité pour la première fois un mot de passe faible dans un appareil de test connecté au réseau de l’entreprise. Microsoft a ajouté que rien n’indiquait que son code source ou ses systèmes de production avaient été compromis.
Secrets envoyés par e-mail
Dans une mise à jour publiée vendredi, Microsoft a déclaré avoir découvert des preuves selon lesquelles Midnight Blizzard avait utilisé les informations obtenues initialement pour pénétrer davantage dans son réseau et compromettre à la fois le code source et les systèmes internes. Le groupe de piratage, qui est suivi sous plusieurs autres noms, notamment APT29, Cozy Bear, CozyDuke, The Dukes, Dark Halo et Nobelium, a utilisé les informations exclusives dans le cadre d’attaques ultérieures, non seulement contre Microsoft mais aussi contre ses clients.
« Ces dernières semaines, nous avons constaté que Midnight Blizzard utilise des informations initialement exfiltrées de nos systèmes de messagerie d’entreprise pour obtenir, ou tenter d’obtenir, un accès non autorisé », indique la mise à jour de vendredi. « Cela inclut l’accès à certains référentiels de codes sources et systèmes internes de l’entreprise. À ce jour, nous n’avons trouvé aucune preuve que les systèmes hébergés par Microsoft destinés aux clients aient été compromis.
Dans la divulgation de janvier, Microsoft a déclaré que Midnight Blizzard avait utilisé une attaque par pulvérisation de mot de passe pour compromettre un « ancien compte de locataire de test hors production » sur le réseau de l’entreprise. Ces détails signifiaient que le compte n’avait pas été supprimé une fois mis hors service, une pratique considérée comme essentielle pour sécuriser les réseaux. Ces détails signifiaient également que le mot de passe utilisé pour se connecter au compte était suffisamment faible pour être deviné en envoyant un flux constant d’informations d’identification récoltées lors de violations précédentes – une technique connue sous le nom de pulvérisation de mot de passe.
Au cours des mois qui ont suivi, a déclaré vendredi Microsoft, Midnight Blizzard a exploité les informations obtenues plus tôt dans le cadre d’attaques ultérieures qui ont intensifié un taux déjà élevé de pulvérisation de mots de passe.
Menace mondiale sans précédent
Les responsables de Microsoft ont écrit :
Il est évident que Midnight Blizzard tente d’utiliser les différents types de secrets qu’il a découverts. Certains de ces secrets ont été partagés entre les clients et Microsoft par courrier électronique, et comme nous les découvrons dans notre courrier électronique exfiltré, nous avons contacté ces clients et les aidons à prendre des mesures d’atténuation. Midnight Blizzard a multiplié par 10 le volume de certains aspects de l’attaque, tels que les pulvérisations de mots de passe, en février, par rapport au volume déjà important que nous avons observé en janvier 2024.
L’attaque en cours de Midnight Blizzard se caractérise par un engagement soutenu et important des ressources, de la coordination et de la concentration de l’acteur menaçant. Il se peut qu’il utilise les informations obtenues pour dresser un tableau des zones à attaquer et améliorer sa capacité à le faire. Cela reflète ce qui est devenu plus largement un paysage de menaces mondiales sans précédent, notamment en termes d’attaques sophistiquées contre les États-nations.
L’attaque a commencé en novembre et n’a été détectée qu’en janvier. Microsoft avait alors déclaré que la violation permettait à Midnight Blizzard de surveiller les comptes de messagerie des cadres supérieurs et du personnel de sécurité, évoquant la possibilité que le groupe ait pu lire des communications sensibles pendant une période pouvant aller jusqu’à trois mois. Microsoft a déclaré que l’une des motivations de l’attaque était que Midnight Blizzard découvre ce que l’entreprise savait du groupe menaçant. Microsoft avait déclaré à l’époque et réitéré vendredi qu’il n’avait aucune preuve que des pirates informatiques avaient eu accès aux systèmes destinés aux clients.
Midnight Blizzard fait partie des APT les plus prolifiques, abréviation de menaces persistantes avancées, terme utilisé pour désigner des groupes de hackers qualifiés et bien financés, principalement soutenus par les États-nations. Le groupe était à l’origine de l’attaque de la chaîne d’approvisionnement de SolarWinds qui a conduit au piratage des départements américains de l’Énergie, du Commerce, du Trésor et de la Sécurité intérieure ainsi que d’une centaine d’entreprises du secteur privé.
La semaine dernière, le National Cyber Security Centre (NCSC) du Royaume-Uni et ses partenaires internationaux ont averti qu’au cours des derniers mois, le groupe menaçant avait étendu ses activités pour cibler l’aviation, l’éducation, les forces de l’ordre, les conseils locaux et d’État, les services financiers gouvernementaux et les organisations militaires.