Microsoft a en effet été piraté par l’équipe de hackers sud-américains Lapsus$, a admis le géant du logiciel dans un article de blog et une longue analyse hier (22 mars).
« Notre enquête a révélé qu’un seul compte avait été compromis, accordant un accès limité », a déclaré Microsoft. « Aucun code ou donnée client n’a été impliqué dans les activités observées. »
Quant à savoir si cette intrusion, qui a entraîné le vol d’un prétendu 37 Go de code source appartenant à Bing, Bing Maps et Cortana, compromettrait la sécurité des logiciels ou des clients Microsoft, la société l’a fermement nié.
Un risque pour vous ? Non, dit Microsoft
« Microsoft ne s’appuie pas sur le secret du code comme mesure de sécurité », indique le billet de blog, « et l’affichage du code source n’entraîne pas d’augmentation des risques ».
Bien sûr, c’est ce que vous attendez d’une entreprise piratée. Et il y a certainement un certain scepticisme en ligne quant à l’insistance de Microsoft sur le fait que ce n’était pas grave.
« Nous n’avons pas été piratés. » « Il y a eu une tentative de piratage. » « Nous avons été piratés, mais ce n’est pas grave. » « 2,5 % d’entre vous ont été piratés. nous avons été piratés.23 mars 2022
Nous sommes enclins à donner à Microsoft le bénéfice du doute ici, mais vous pouvez parier que les experts en sécurité examineront le code volé que Lapsus$ a publié en ligne pour voir s’il existe un moyen de l’exploiter. (Le code source de Windows, Office et d’autres logiciels de bureau ne semble pas avoir fait partie des données volées.)
Jusqu’à ce que nous en sachions plus, nous vous invitons à maintenir tous vos logiciels Microsoft à jour et à maintenir d’autres « meilleures pratiques » de sécurité, telles que l’utilisation de l’un des meilleurs gestionnaires de mots de passe et de l’un des meilleurs programmes antivirus.
Comment les pirates sont-ils entrés ?
Microsoft n’a pas dit exactement comment Lapsus$, que Microsoft appelle « DEV-0537 », est entré dans ses systèmes. Mais il a fourni une analyse longue et intéressante des méthodes et des objectifs de Lapsus$, ce qui est inhabituel.
Contrairement à d’autres groupes criminels, a noté Microsoft, Lapsus$ aime faire beaucoup de bruit et agit comme si l’attention des médias comptait plus que l’argent.
« DEV-0537 est connu pour utiliser un modèle d’extorsion et de destruction pure sans déployer de charges utiles de ransomware », a déclaré la société. L’objectif « est d’obtenir un accès élevé grâce à des informations d’identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée ».
L’équipage a sa propre chaîne publique Telegram où il annonce les piratages et réfute les allégations des organisations piratées, par exemple une réfutation point par point hier de l’analyse de la société de gestion d’identité Okta de son propre piratage Lapsus $.
Le mois dernier, Lapsus$ a attaqué le fabricant de cartes graphiques Nvidia et a exigé que la société fournisse un logiciel pilote pour permettre une extraction plus facile de la crypto-monnaie.
Astuces de confiance et gains
Nous devons avouer une admiration réticente pour Lapsus$, qui semble capable de réaliser des violations de données très médiatisées – Samsung a également été piraté – sans utiliser de logiciels malveillants sophistiqués ou de techniques de films d’espionnage. Au lieu de cela, Lapsus $ s’appuie sur la corruption et la ruse à l’ancienne et sur une compréhension de la nature humaine.
« Leurs tactiques incluent l’ingénierie sociale par téléphone », comme convaincre le personnel du service d’assistance de réinitialiser les mots de passe, a écrit Microsoft.
D’autres méthodes Lapsus$ incluent « l’échange de cartes SIM pour faciliter la prise de contrôle de compte ; l’accès aux comptes de messagerie personnels des employés des organisations cibles ; le paiement des employés, des fournisseurs ou des partenaires commerciaux des organisations cibles pour l’accès aux informations d’identification et l’approbation de l’authentification multifacteur (MFA) ; et l’intrusion dans les appels de communication de crise en cours de leurs cibles. »
Une fois que Lapsus$ entre dans une organisation ciblée, a ajouté Microsoft, il « crée des comptes d’administrateur globaux dans les instances cloud de l’organisation, définit une règle de transport de courrier au niveau du locataire Office 365 pour envoyer tous les messages entrants et sortants de l’organisation vers le compte nouvellement créé, et supprime ensuite tous les autres comptes d’administrateurs globaux, de sorte que seul l’acteur ait le contrôle exclusif des ressources cloud, bloquant ainsi l’organisation de tout accès. »
C’est déjà assez épique. Mais Lapsus$ passe ensuite au niveau supérieur, infiltrant les propres discussions internes de l’organisation piratée sur la façon de répondre à l’intrusion de Lapsus$.
Il rejoindra « les appels de communication de crise et les forums de discussion internes de l’organisation (Slack, Teams, conférences téléphoniques et autres) pour comprendre le flux de travail de réponse aux incidents et leur réponse correspondante », a déclaré Microsoft.
« Ce groupe comprend la nature interconnectée des identités et des relations de confiance dans les écosystèmes technologiques modernes et cible les télécommunications, la technologie, les services informatiques et les entreprises de support – pour tirer parti de leur accès à partir d’une organisation pour accéder aux organisations partenaires ou fournisseurs. »