Microsoft a averti vendredi soir que certains de ses comptes de messagerie d’entreprise avaient été piratés et des données volées par un groupe de piratage parrainé par l’État russe connu sous le nom de Midnight Blizzard.
L’entreprise a détecté l’attaque le 12 janvier, l’enquête de Microsoft ayant finalement déterminé que l’attaque avait été menée par des acteurs de la menace russes connus plus communément sous le nom de Nobelium ou APT29.
Microsoft affirme que les auteurs de la menace ont violé leurs systèmes en novembre 2023 lorsqu’ils ont mené une attaque par pulvérisation de mot de passe pour accéder à un compte locataire de test hérité hors production.
Un spray de mot de passe est un type d’attaque par force brute dans laquelle les auteurs de menaces collectent une liste de noms de connexion potentiels, puis tentent de se connecter à chacun d’eux à l’aide d’un mot de passe particulier. Si ce mot de passe échoue, ils répètent ce processus avec d’autres mots de passe jusqu’à épuisement ou violation réussie du compte.
Le fait que les pirates aient pu accéder au compte à l’aide d’une attaque par force brute indique qu’il n’était pas protégé par une authentification à deux facteurs (2FA) ou une authentification multifacteur (MFA), une pratique de sécurité que Microsoft recommande sur tous les types de comptes en ligne.
Une fois que les pirates ont eu accès au compte « test », Microsoft affirme que les pirates de Nobelium l’ont utilisé pour accéder à un « petit pourcentage » des comptes de messagerie d’entreprise de Microsoft pendant plus d’un mois.
À moins que les auteurs de la menace n’utilisent ce compte de test pour violer les systèmes et basculer vers des comptes avec des autorisations plus élevées, il n’est pas clair pourquoi un compte de test hors production aurait les autorisations pour accéder à d’autres comptes dans le système de messagerie d’entreprise de Microsoft.
Microsoft affirme que les comptes de messagerie piratés comprenaient des membres de l’équipe de direction de Microsoft et des employés des départements de cybersécurité et juridique, à partir desquels les pirates ont volé des courriels et des pièces jointes.
« L’enquête indique qu’ils ciblaient initialement les comptes de messagerie pour obtenir des informations relatives à Midnight Blizzard lui-même », a déclaré le Centre de réponse à la sécurité de Microsoft dans un rapport sur l’incident.
« Nous sommes en train d’informer les employés dont le courrier électronique a été consulté. »
Microsoft réitère que cette violation n’a pas été causée par une vulnérabilité dans leurs produits et services, mais plutôt par une attaque par mot de passe par force brute sur leurs comptes.
Cependant, sur la base des informations limitées partagées par Microsoft, il semble qu’une grande partie de la violation ait été causée par la configuration mal sécurisée du compte piraté.
Alors que Microsoft enquête toujours sur la violation, ils ont déclaré qu’ils partageraient des détails supplémentaires le cas échéant.
Dans un formulaire 8-K déposé auprès de la SEC, Microsoft affirme que la violation n’a pas eu d’impact matériel sur les opérations de l’entreprise.
Qui est Nobelium
Nobelium (alias Midnight Blizzard, APT29 et Cozy Bear) est un groupe de piratage parrainé par l’État russe qui ferait partie du Service de renseignement extérieur russe (SVR), qui a été lié à de nombreuses attaques au fil des ans.
Les pirates ont acquis une notoriété lorsque le gouvernement américain les a liés à l’attaque de la chaîne d’approvisionnement SolarWinds de 2020, qui a également eu un impact sur Microsoft à l’époque.
Microsoft a confirmé plus tard que l’attaque SolarWinds avait permis aux pirates de voler le code source d’un nombre limité de composants Azure, Intune et Exchange.
En juin 2021, le groupe de piratage a de nouveau piraté un compte d’entreprise Microsoft, leur permettant d’accéder aux outils de support client.
En plus de mener des attaques de cyberespionnage et de vol de données, Nobelium est également connu pour développer des logiciels malveillants personnalisés à utiliser dans leurs attaques.
Microsoft a toujours été une cible très prisée car elle contrôle une grande partie des données et des services utilisés par les gouvernements et les entreprises du monde entier.
Plus récemment, Microsoft a été la cible de pirates informatiques chinois qui ont volé une clé de signature Microsoft qui leur permettait d’accéder aux comptes de messagerie de deux douzaines d’organisations, y compris des agences gouvernementales américaines et d’Europe occidentale.