CISA a publié une nouvelle directive d’urgence ordonnant aux agences fédérales américaines de gérer les risques résultant de la violation de plusieurs comptes de messagerie d’entreprise Microsoft par le groupe de piratage russe APT29.
La Directive d’urgence 24-02 a été émise aux agences de l’Exécutif civil fédéral (FCEB) le 2 avril. Cela les oblige à enquêter sur les e-mails potentiellement affectés, à réinitialiser les informations d’identification compromises (le cas échéant) et à prendre des mesures pour sécuriser les comptes Microsoft Azure privilégiés.
CISA indique que les agents du Service de renseignement extérieur russe (SVR) utilisent désormais des informations volées dans les systèmes de messagerie d’entreprise de Microsoft, y compris les détails d’authentification partagés entre Microsoft et ses clients par courrier électronique, pour accéder à certains systèmes clients.
« Cette directive d’urgence exige des mesures immédiates de la part des organismes pour réduire les risques pour nos systèmes fédéraux. Pendant plusieurs années, le gouvernement américain a documenté les cyberactivités malveillantes comme faisant partie intégrante du manuel russe; ce dernier compromis de Microsoft s’ajoute à leur longue liste », a déclaré jeudi la directrice de la CISA, Jen Easterly.
« Nous poursuivrons nos efforts en collaboration avec nos partenaires du gouvernement fédéral et du secteur privé pour protéger et défendre nos systèmes contre de telles menaces. »
Les courriels des agences fédérales volés
Microsoft et l’agence américaine de cybersécurité ont déjà informé toutes les agences fédérales dont la correspondance électronique avec Microsoft a été détectée comme exfiltrée par les pirates russes.
La nouvelle directive d’urgence de la CISA est la première fois que le gouvernement américain confirme que les courriels des agences fédérales ont été exfiltrés lors des violations de Microsoft Exchange de janvier.
CISA a maintenant ordonné aux agences concernées d’identifier le contenu complet de la correspondance de l’agence avec les comptes Microsoft compromis et d’effectuer une analyse d’impact sur la cybersécurité d’ici le 30 avril 2024.
Ceux qui détectent des signes de compromission de l’authentification sont tenus de:
- Prenez des mesures correctives immédiates pour les jetons, mots de passe, clés API ou autres informations d’identification d’authentification connues ou suspectées d’être compromises.
- Pour tout compromis d’authentification connu ou suspecté identifié par l’action 1 d’ici le 30 avril 2024:
- Réinitialisez les informations d’identification dans les applications associées et désactivez les applications associées qui ne sont plus utiles à l’agence.
- Examinez les journaux de connexion, d’émission de jetons et d’autres activités de compte pour les utilisateurs et les services dont les informations d’identification ont été suspectées ou observées comme compromises pour une activité malveillante potentielle.
Même si les exigences de l’ED 24-02 s’appliquent exclusivement aux agences FCEB, l’exfiltration des comptes d’entreprise Microsoft peut avoir un impact sur d’autres organisations, qui sont invitées à demander conseil à leurs équipes de comptes Microsoft respectives.
Il est également essentiel que toutes les organisations, quel que soit l’impact, adoptent des mesures de sécurité strictes, notamment en utilisant des mots de passe forts, en activant l’authentification multifacteur (MFA) chaque fois que possible et en s’abstenant de partager des informations sensibles non protégées via des canaux non sécurisés.
Les piratages Microsoft d’APT29
En janvier, Microsoft a révélé que des pirates informatiques APT29 (également connus sous le nom de Midnight Blizzard et NOBELIUM) avaient violé ses serveurs de messagerie d’entreprise à la suite d’une attaque par pulvérisation de mots de passe qui avait conduit à la compromission d’un ancien compte locataire de test hors production.
La société a révélé plus tard que le compte de test n’avait pas activé MFA, permettant aux pirates d’accéder aux systèmes de Microsoft.
Le compte avait également accès à une application OAuth avec un accès élevé à l’environnement d’entreprise de Microsoft, qui permettait aux attaquants d’accéder et de voler des données dans les boîtes aux lettres de l’entreprise. Ces comptes de messagerie appartenaient aux membres de l’équipe de direction de Microsoft et à un nombre non divulgué d’employés des services de cybersécurité et juridiques de l’entreprise.
APT29 a gagné en notoriété après l’attaque de la chaîne d’approvisionnement de SolarWinds en 2020, qui a entraîné la violation de certaines agences fédérales américaines et de nombreuses entreprises, dont Microsoft.
Microsoft a confirmé plus tard que l’attaque avait permis au groupe de piratage russe de voler le code source de certains composants Azure, Intune et Exchange.
En juin 2021, les pirates informatiques d’APT29 ont de nouveau piraté un compte d’entreprise Microsoft, leur donnant accès à des outils de support client.