Vendredi, Microsoft a révélé avoir été victime d’un piratage mené par des espions du gouvernement russe. Aujourd’hui, une semaine plus tard, le géant de la technologie a déclaré qu’il n’était pas la seule cible de l’opération d’espionnage.
Dans un nouveau billet de blog, Microsoft a déclaré que « le même acteur a ciblé d’autres organisations et, dans le cadre de nos processus de notification habituels, nous avons commencé à notifier ces organisations ciblées ».
À ce stade, on ne sait pas exactement combien d’organisations ont été ciblées par les pirates informatiques soutenus par la Russie.
Contactez-nous
Avez-vous plus d’informations sur ce hack ? Nous aimerions recevoir de vos nouvelles. À partir d’un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail à [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.
Lorsque TechCrunch lui a demandé de fournir un nombre spécifique de victimes notifiées jusqu’à présent, un porte-parole de Microsoft a refusé de commenter.
Microsoft a identifié les pirates comme étant le groupe qu’il appelle Midnight Blizzard. Il est largement admis que ce groupe travaille pour le Service de renseignement extérieur russe, ou SVR. D’autres sociétés de sécurité appellent le groupe APT29 et Cozy Bear.
Microsoft a déclaré avoir détecté l’intrusion le 12 janvier, puis établi que la campagne de piratage avait commencé fin novembre, lorsque les pirates ont utilisé une « attaque par pulvérisation de mot de passe » sur un système existant sur lequel l’authentification multifacteur n’était pas activée. La pulvérisation de mots de passe se produit lorsque des pirates tentent de forcer l’accès à des comptes en utilisant des mots de passe couramment utilisés ou une liste plus longue de mots de passe issus de violations de données antérieures.
« L’acteur a adapté ses attaques par pulvérisation de mot de passe à un nombre limité de comptes, en utilisant un faible nombre de tentatives pour échapper à la détection et éviter les blocages de comptes en fonction du volume d’échecs », a écrit Microsoft dans son dernier article de blog. « L’auteur de la menace a encore réduit la probabilité d’être découvert en lançant ces attaques à partir d’une infrastructure proxy résidentielle distribuée. Ces techniques d’évasion ont permis à l’acteur de dissimuler son activité et de poursuivre son attaque dans le temps jusqu’à ce qu’elle réussisse.
Une fois que les pirates informatiques soutenus par la Russie ont eu accès à un compte sur cet ancien système, ils « ont utilisé les autorisations du compte pour accéder à un très petit pourcentage des comptes de messagerie d’entreprise de Microsoft », selon Microsoft, qui n’a pas encore précisé combien de comptes de messagerie avaient été compromis. .
Microsoft a toutefois déclaré que les pirates ciblaient spécifiquement les cadres supérieurs de l’entreprise, ainsi que les personnes travaillant dans les départements de cybersécurité, juridiques et autres. Les pirates ont pu voler « quelques e-mails et documents joints ».
Curieusement, les pirates souhaitaient découvrir des informations sur eux-mêmes, en particulier ce que Microsoft savait d’eux, a indiqué la société.
Jeudi, Hewlett Packard Enterprise (HPE) a révélé que son système de messagerie hébergé par Microsoft avait été piraté par Midnight Blizzard. HPE a déclaré avoir été informé de la violation – sans préciser par qui – le 12 décembre. La société a déclaré que selon sa propre enquête, les pirates « ont accédé et exfiltré les données » d’un « petit pourcentage » des boîtes aux lettres HPE à partir de mai 2023.
On ne sait pas exactement comment, ni si, cette violation est liée à la campagne d’espionnage des pirates informatiques ciblant Microsoft, car HPE a déclaré que son incident était lié à une intrusion antérieure au cours de laquelle les mêmes pirates avaient exfiltré « un nombre limité de fichiers SharePoint » de son réseau.
« Nous n’avons pas les détails de l’incident que Microsoft a connu et divulgué la semaine dernière, nous ne sommes donc pas en mesure de relier les deux pour le moment », a déclaré le porte-parole de HPE, Adam R. Bauer, à TechCrunch.
Mis à jour avec Microsoft refusant de commenter.