Microsoft a déclaré aujourd’hui avoir été piraté par un « acteur parrainé par l’État russe » appelé Midnight Blizzard, également connu sous le nom de Nobelium. Il s’agit du même groupe de pirates soupçonnés d’être responsables du piratage majeur de la chaîne d’approvisionnement de SolarWinds survenu en 2020.
« À partir de fin novembre 2023, l’auteur de la menace a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire de test hors production et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d’entreprise Microsoft, y compris les membres. de notre équipe de direction et de nos employés dans nos fonctions de cybersécurité, juridiques et autres, et a exfiltré certains e-mails et documents joints », a écrit Microsoft.
« L’enquête indique qu’ils ciblaient initialement les comptes de messagerie pour obtenir des informations liées à Midnight Blizzard lui-même. Nous sommes en train d’informer les employés dont la messagerie électronique a été consultée. »
Microsoft a déclaré avoir détecté l’attaque le 12 janvier. Il n’a pas précisé quelles informations Midnight Blizzard/Nobelium recherchaient, mais il y a une longue histoire entre les deux. En 2021, à la suite du piratage de SolarWinds, Microsoft a publié une série de blogs/vidéos en quatre parties sur le groupe qui « lève le voile sur l’incident NOBELUM et comment les chasseurs de menaces de classe mondiale de Microsoft et du secteur se sont réunis pour s’attaquer au problème ». l’attaque la plus sophistiquée de l’histoire contre un État-nation. »
Microsoft a également joué un rôle actif dans la lutte contre les cyberattaques russes contre l’Ukraine.
La « pulvérisation de mots de passe » est une attaque par force brute dans laquelle un pirate informatique frappe des noms d’utilisateur valides connus avec des mots de passe courants dans l’espoir que quelqu’un devienne paresseux et utilise quelque chose comme « 1234 ». Les systèmes automatisés sont souvent utilisés pour parcourir un grand nombre de mots de passe dans un laps de temps relativement court, et il est difficile de s’en défendre car ils n’exploitent pas les vulnérabilités des systèmes, mais celles des utilisateurs.
Depuis le site Web de la société de sécurité en ligne Login Radius :
Les pirates peuvent s’en prendre à des utilisateurs et à des cycles spécifiques en utilisant autant de mots de passe que possible à partir d’un dictionnaire ou d’une liste modifiée de mots de passe courants. La pulvérisation de mots de passe n’est pas une attaque ciblée, il s’agit simplement d’un acteur malveillant qui acquiert une liste de comptes de messagerie ou accède à un répertoire actif et tente de se connecter à tous les comptes en utilisant une liste des mots de passe les plus probables, les plus populaires ou les plus courants jusqu’à ce que ils obtiennent un succès.
Le principal point à retenir de la pulvérisation de mots de passe est que les comptes d’utilisateurs dotés de mots de passe anciens ou courants constituent le maillon faible que les pirates peuvent exploiter pour accéder au réseau. Malheureusement, les attaques par pulvérisation de mots de passe réussissent souvent car de nombreux utilisateurs de comptes ne suivent pas les meilleures pratiques de protection par mot de passe ou choisissent la commodité plutôt que la sécurité.
Microsoft a dit essentiellement la même chose, soulignant que l’attaque « n’était pas le résultat d’une vulnérabilité dans les produits ou services Microsoft ». Il n’existe actuellement aucune preuve que des pirates ont eu accès aux « environnements clients, aux systèmes de production, au code source ou aux systèmes d’IA », et il informera les clients si et quand une action supplémentaire est nécessaire.
Même si tel est le cas, le piratage aura un impact : Microsoft a déclaré que la prolifération des pirates parrainés par l’État l’a obligé à réévaluer « l’équilibre que nous devons trouver entre la sécurité et les risques commerciaux », et qu’il appliquera immédiatement « les mesures de sécurité actuelles ». normes aux systèmes existants appartenant à Microsoft et aux processus métier internes.
« Cela provoquera probablement un certain niveau de perturbation pendant que nous nous adaptons à cette nouvelle réalité, mais il s’agit d’une étape nécessaire, et seulement la première d’une longue série que nous franchirons pour adopter cette philosophie. »
Microsoft a été au centre de nombreux piratages majeurs ces dernières années. En 2021, les États-Unis et d’autres pays de l’OTAN ont accusé la Chine de parrainer le piratage de Microsoft Exchange Server, et en 2022, une attaque Lapsus$ a entraîné le vol du code source de Bing et Cortana. En 2023, sa plateforme Azure a été piratée par un groupe de piratage chinois qui a pu accéder aux comptes de messagerie des utilisateurs ; Cela a conduit le président-directeur général de Tenable, Amit Yoran, à accuser l’entreprise d’un « schéma répété de pratiques négligentes en matière de cybersécurité, qui a permis à la Chine d’espionner le gouvernement des États-Unis ».