Des pirates chinois ont volé des dizaines de milliers d’e-mails sur les comptes du Département d’État américain après avoir piraté la plateforme de messagerie Exchange basée sur le cloud de Microsoft en mai.
Lors d’une récente réunion d’information du Sénat, des responsables du Département d’État américain ont révélé que les attaquants avaient volé au moins 60 000 e-mails depuis des comptes Outlook appartenant à des responsables du Département d’État en poste en Asie de l’Est, dans le Pacifique et en Europe, comme l’a rapporté pour la première fois Reuters.
De plus, les pirates ont réussi à obtenir une liste contenant tous les comptes de messagerie du ministère. Le personnel compromis du Département d’État s’est principalement concentré sur les efforts diplomatiques indo-pacifiques.
« Nous devons renforcer nos défenses contre ce type de cyberattaques et d’intrusions à l’avenir, et nous devons examiner attentivement la dépendance du gouvernement fédéral à l’égard d’un seul fournisseur comme point faible potentiel », a déclaré le sénateur Eric Schmitt dans un communiqué.
Ces informations ont également été confirmées par le porte-parole du Département d’État, Matthew Miller, lors d’un point de presse jeudi.
« Oui, environ 60 000 e-mails non classifiés ont été exfiltrés dans le cadre de cette violation. Non, les systèmes classifiés n’ont pas été piratés. Ceux-ci concernaient uniquement le système non classifié », a déclaré Miller aux journalistes.
« Nous n’avons pas fait d’attribution à ce stade, mais, comme je l’ai déjà dit, nous n’avons aucune raison de douter de l’attribution que Microsoft a faite publiquement. Encore une fois, il s’agissait d’un piratage des systèmes Microsoft que le Département d’État a découvert et informé Microsoft. «
Violations de courrier électronique liées aux cyberespions chinois Storm-0558
En juillet, Microsoft a révélé qu’à partir du 15 mai 2023, des acteurs malveillants ont réussi à pirater les comptes Outlook associés à environ 25 organisations. Les organisations compromises comprennent les départements d’État et du commerce des États-Unis, ainsi que certains comptes de consommateurs vraisemblablement liés à ceux-ci.
Microsoft n’a pas divulgué de détails spécifiques concernant les organisations, agences gouvernementales ou pays concernés par cette violation de courrier électronique.
La société a attribué ces attaques à un collectif de cyberespionnage connu sous le nom de Storm-0558, soupçonné de chercher à obtenir des informations sensibles en infiltrant les systèmes de messagerie de ses cibles.
Plus tôt ce mois-ci, Microsoft a révélé que le groupe malveillant avait d’abord obtenu une clé de signature client à partir d’un crash dump de Windows, une violation facilitée après avoir compromis le compte d’entreprise d’un ingénieur Microsoft, qui permettait d’accéder aux comptes de messagerie du gouvernement.
La clé de compte Microsoft (MSA) volée a été utilisée pour compromettre les comptes Exchange Online et Azure Active Directory (AD) en exploitant une vulnérabilité de validation Zero Day précédemment corrigée dans GetAccessTokenForResourceAPI. La faille a permis aux attaquants de générer des jetons d’accès signés contrefaits, ce qui leur a permis d’usurper l’identité de comptes au sein des organisations ciblées.
En réponse à la faille de sécurité, Microsoft a révoqué la clé de signature volée et, après enquête, n’a trouvé aucun autre cas d’accès non autorisé aux comptes clients via la même méthode de falsification de jeton d’accès.
Sous la pression de la Cybersecurity and Infrastructure Security Agency (CISA), Microsoft a également accepté d’élargir gratuitement l’accès aux données de journalisation dans le cloud, ce qui aiderait les défenseurs des réseaux à identifier d’éventuelles tentatives de violation de nature similaire à l’avenir.
Auparavant, ces fonctionnalités de journalisation étaient exclusivement accessibles aux clients disposant de licences de journalisation Purview Audit (Premium). Pour cette raison, Microsoft a été critiqué pour avoir empêché les organisations de détecter rapidement les attaques de Storm-0558.