Un groupe de piratage chinois a piraté les comptes de messagerie de plus de deux douzaines d’organisations dans le monde, y compris des agences gouvernementales américaines et d’Europe occidentale, selon Microsoft.

Les attaques ont été épinglées sur un groupe de menaces suivi sous le nom de Storm-0558, considéré comme une équipe de cyberespionnage axée sur la collecte d’informations sensibles en violant les systèmes de messagerie.

Microsoft a commencé à enquêter sur ces attaques le 16 juin 2023, à la suite de rapports de clients concernant une activité de messagerie inhabituelle.

La société a découvert qu’à partir du 15 mai 2023, les acteurs de la menace Storm-0558 ont réussi à accéder aux comptes Outlook appartenant à environ 25 organisations et à certains comptes de consommateurs susceptibles d’être connectés à ces organisations.

Pour ce faire, les attaquants ont utilisé des jetons d’authentification forgés à l’aide d’une clé de signature de consommateur de compte Microsoft (MSA) volée.

« Les enquêtes de Microsoft ont déterminé que Storm-0558 avait eu accès aux comptes de messagerie des clients à l’aide d’Outlook Web Access dans Exchange Online (OWA) et Outlook.com en falsifiant des jetons d’authentification pour accéder aux e-mails des utilisateurs », a déclaré Microsoft dans un article de blog publié tard mardi soir.

« L’acteur a utilisé une clé MSA acquise pour forger des jetons pour accéder à OWA et Outlook.com. Les clés MSA (consommateur) et les clés Azure AD (entreprise) sont émises et gérées à partir de systèmes distincts et ne doivent être valides que pour leurs systèmes respectifs. L’acteur a exploité un problème de validation de jeton pour usurper l’identité des utilisateurs d’Azure AD et accéder à la messagerie de l’entreprise. »

Microsoft a ajouté qu’il n’avait trouvé aucune preuve indiquant un accès non autorisé supplémentaire après avoir « terminé l’atténuation de cette attaque ».

Découvert et signalé par le gouvernement américain
L’incident a été signalé à Microsoft par des responsables du gouvernement américain le mois dernier après la découverte d’un accès non autorisé aux services de messagerie basés sur le cloud de Microsoft.

Cela a été confirmé par le porte-parole du Conseil de sécurité nationale, Adam Hodge, dans une déclaration partagée avec CNN.

« Le mois dernier, les mesures de protection du gouvernement américain ont identifié une intrusion dans la sécurité du cloud de Microsoft, qui a affecté des systèmes non classifiés », a déclaré Hodge à CNN.

« Les responsables ont immédiatement contacté Microsoft pour trouver la source et la vulnérabilité de leur service cloud. Nous continuons à maintenir les fournisseurs d’approvisionnement du gouvernement américain à un seuil de sécurité élevé. »

Mardi, Microsoft a également révélé que le groupe cybercriminel basé en Russie RomCom avait exploité un bureau zéro jour non corrigé lors de récentes attaques de harponnage ciblant des organisations participant au sommet de l’OTAN à Vilnius, en Lituanie.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *