Hewlett Packard Enterprise (HPE) a révélé aujourd’hui que des pirates informatiques russes présumés connus sous le nom de Midnight Blizzard avaient eu accès à l’environnement de messagerie Microsoft Office 365 de l’entreprise pour voler des données à son équipe de cybersécurité et à d’autres départements.
Midnight Blizzard, alias Cozy Bear, APT29 et Nobelium, est un groupe de piratage parrainé par l’État russe qui ferait partie du Service de renseignement extérieur russe (SVR). Les acteurs de la menace ont été liés à de multiples attaques tout au long de l’année, y compris la tristement célèbre attaque de la chaîne d’approvisionnement SolarWinds de 2020.
Dans un nouveau formulaire 8-K déposé auprès de la SEC, HPE indique qu’ils ont été informés le 12 décembre que les pirates russes présumés avaient violé leur environnement de messagerie basé sur le cloud en mai 2023.
« Sur la base de notre enquête, nous pensons maintenant que l’auteur de la menace a accédé et exfiltré des données à partir de mai 2023 à partir d’un petit pourcentage de boîtes aux lettres HPE appartenant à des personnes de nos secteurs cybersécurité, commercialisation, activités et autres fonctions », lit-on dans le dossier de la SEC.
HPE dit qu’ils enquêtent toujours sur la violation, mais pensent qu’elle est liée à une violation précédente en mai 2023, lorsque des acteurs de la menace ont eu accès au serveur SharePoint de l’entreprise et ont volé des fichiers.
L’entreprise continue de travailler avec des experts externes en cybersécurité et les forces de l’ordre pour enquêter sur l’incident.
En réponse à d’autres questions sur la violation, HPE a partagé la déclaration suivante avec Breachtrace.
« Le 12 décembre 2023, HPE a été informé qu’un acteur présumé de l’État-nation avait obtenu un accès non autorisé à l’environnement de messagerie Office 365 de l’entreprise. HPE a immédiatement activé les protocoles de cyber-réponse pour lancer une enquête, remédier à l’incident et éradiquer l’activité. Grâce à cette enquête, qui est toujours en cours, nous avons déterminé que cet acteur étatique avait accédé et exfiltré des données à partir de mai 2023 à partir d’un petit pourcentage de boîtes aux lettres HPE appartenant à des personnes de nos secteurs cybersécurité, commercialisation, activités et autres fonctions. Nous pensons que l’acteur de l’État-nation est Midnight Blizzard, également connu sous le nom de Cozy Bear.
Les données consultées sont limitées aux informations contenues dans les boîtes aux lettres des utilisateurs. Nous continuons d’enquêter et ferons les notifications appropriées au besoin.
Par excès de prudence et par souci de se conformer à l’esprit des nouvelles directives réglementaires en matière de divulgation, nous avons déposé un formulaire 8-K auprès de la Securities & Exchange Commission pour informer cet organisme et les investisseurs de cet incident. Cela dit, il n’y a eu aucune incidence opérationnelle sur nos activités et, à ce jour, nous n’avons pas déterminé que cet incident est susceptible d’avoir un impact financier important. »
Bien que HPE n’ait fourni aucun autre détail, Microsoft a récemment signalé une faille de sécurité par Blizzard de minuit qui impliquait également le vol de données des comptes de messagerie d’entreprise de l’entreprise, y compris de son équipe de direction.
La violation de Microsoft a été causée par un compte client de test mal configuré qui a permis aux auteurs de la menace de forcer brutalement le mot de passe du compte et de se connecter à leurs systèmes.
Grâce à cet accès, Midnight Blizzard a eu accès aux comptes de messagerie de l’entreprise pour voler des données à l’équipe de direction et aux employés de Microsoft dans ses départements de cybersécurité et juridiques.
HPE a déclaré à Breachtrace qu’ils ne savaient pas si son incident était lié à celui de Microsoft.
La société avait déjà été piratée en 2018 lorsque des pirates informatiques chinois ont piraté son réseau et celui d’IBM, puis ont utilisé cet accès pour pirater les appareils de leurs clients.
Plus récemment, en 2021, HPE a révélé que les référentiels de données de sa plate-forme de surveillance du réseau central Aruba avaient été compromis, permettant à un auteur de menace d’accéder aux données sur les appareils surveillés et leurs emplacements.