Microsoft affirme que le groupe de piratage russe « Midnight Blizzard » a récemment accédé à certains de ses systèmes internes et référentiels de code source en utilisant des secrets d’authentification volés lors d’une cyberattaque de janvier.
En janvier, Microsoft a révélé que Midnight Blizzard (alias NOBELIUM) avait violé les serveurs de messagerie de l’entreprise après avoir mené une attaque par pulvérisation de mots de passe qui permettait d’accéder à un ancien compte locataire de test hors production.
Un article de blog ultérieur a révélé que l’authentification multifacteur n’était pas activée sur ce compte de test, ce qui permettait aux acteurs de la menace d’accéder aux systèmes de violation de Microsoft.
Ce compte locataire test avait également accès à une application OAuth avec un accès élevé à l’environnement d’entreprise de Microsoft, permettant aux acteurs de la menace d’accéder aux données des boîtes aux lettres de l’entreprise et de les voler, y compris les membres de l’équipe de direction de Microsoft et les employés des services de cybersécurité et juridiques.
La société pense que les auteurs de la menace ont piraté certains de ces comptes de messagerie pour savoir ce que Microsoft savait à leur sujet.
Midnight Blizzard pirate à nouveau Microsoft
Aujourd’hui, Microsoft affirme que Midnight Blizzard utilise des secrets trouvés dans les données volées pour accéder à certains des systèmes et référentiels de code source de l’entreprise au cours des dernières semaines.
« Ces dernières semaines, nous avons vu des preuves que Midnight Blizzard utilise des informations initialement exfiltrées de nos systèmes de messagerie d’entreprise pour obtenir ou tenter d’obtenir un accès non autorisé », lit-on dans un nouveau billet de blog du Microsoft Security Response Center.
« Cela a inclus l’accès à certains référentiels de code source et systèmes internes de l’entreprise. À ce jour, nous n’avons trouvé aucune preuve que les systèmes hébergés par Microsoft destinés aux clients aient été compromis. »
Bien que Microsoft n’ait pas expliqué précisément ce que ces « secrets » incluent, il s’agit probablement de jetons d’authentification, de clés API ou d’informations d’identification.
Microsoft dit qu’ils ont commencé à contacter des clients dont les secrets ont été exposés aux acteurs de la menace dans des courriels volés entre eux et Microsoft.
« Il est évident que Midnight Blizzard tente d’utiliser des secrets de différents types qu’il a trouvés. Certains de ces secrets ont été partagés entre les clients et Microsoft par courrier électronique, et comme nous les découvrons dans notre courrier électronique exfiltré, nous avons contacté et contactons ces clients pour les aider à prendre des mesures d’atténuation », a poursuivi Microsoft.
La société affirme que Midnight Blizzard intensifie également ses attaques par pulvérisation de mots de passe contre des systèmes ciblés, observant une multiplication par 10 en février par rapport au volume observé en janvier 2024.
Un spray de mot de passe est un type d’attaque par force brute dans lequel les auteurs de menaces collectent une liste de noms de connexion potentiels, puis tentent de se connecter à tous en utilisant une longue liste de mots de passe possibles. Si un mot de passe échoue, ils répètent ce processus avec d’autres mots de passe jusqu’à épuisement ou violation réussie du compte.
Pour cette raison, les entreprises doivent configurer MFA sur tous les comptes pour empêcher l’accès, même si les informations d’identification sont correctement devinées.
Dans un formulaire 8-K modifié déposé auprès de la SEC, Microsoft affirme avoir renforcé la sécurité de son organisation pour la renforcer contre les acteurs des menaces persistantes avancées.
« Nous avons augmenté nos investissements dans la sécurité, la coordination et la mobilisation entre les entreprises, et avons amélioré notre capacité à nous défendre et à sécuriser et durcir notre environnement contre cette menace persistante avancée », lit-on dans le dossier 8-K.
« Nous continuons de coordonner avec les forces de l’ordre fédérales en ce qui concerne leur enquête en cours sur l’auteur de la menace et l’incident. »
Qui est Blizzard de Minuit
Midnight Blizzard (alias Nobelium, APT29 et Cozy Bear) est un groupe de piratage parrainé par l’État lié au Service de renseignement extérieur russe (SVR).
Les pirates ont pris de l’importance après avoir mené l’attaque de la chaîne d’approvisionnement SolarWinds en 2020, qui a permis aux acteurs de la menace de violer de nombreuses entreprises, dont Microsoft.
Microsoft a confirmé plus tard que l’attaque avait permis à Midnight Blizzard de voler le code source d’un nombre limité de composants Azure, Intune et Exchange.
En juin 2021, le groupe de piratage a de nouveau piraté un compte d’entreprise Microsoft, leur permettant d’accéder aux outils de support client.
Depuis lors, le groupe de piratage a été lié à un grand nombre d’attaques de cyberespionnage contre des pays de l’OTAN et de l’UE, ciblant des ambassades et des agences gouvernementales.
En plus de mener des attaques de cyberespionnage et de vol de données, Nobelium est connu pour développer des logiciels malveillants personnalisés à utiliser dans leurs attaques.