Skip to main content

22 Jan, 2024

Microsoft affirme que des pirates informatiques russes soutenus par l’État ont accédé aux courriels des membres de la haute direction

Microsoft affirme que des pirates informatiques russes soutenus par l’État ont accédé aux courriels des membres de la haute direction

Des pirates informatiques russes soutenus par l’État ont pénétré dans le système de messagerie de l’entreprise Microsoft et ont accédé aux comptes des membres de l’équipe de direction de l’entreprise, ainsi qu’à ceux des employés de ses équipes de cybersécurité et juridiques, a annoncé vendredi l’entreprise.

Dans un article de blog , Microsoft a déclaré que l’intrusion avait commencé fin novembre et avait été découverte le 12 janvier. Elle a déclaré que la même équipe de piratage russe hautement qualifiée à l’origine de la violation de SolarWinds en était responsable.

« Un très petit pourcentage » des comptes d’entreprise Microsoft a été consulté, a indiqué la société, et certains e-mails et documents joints ont été volés.« 

Un porte-parole de l’entreprise a déclaré que Microsoft n’avait aucun commentaire dans l’immédiat sur le nombre de membres de sa haute direction dont les comptes de messagerie avaient été piratés. Dans un dossier réglementaire publié vendredi, Microsoft a déclaré qu’il était en mesure de supprimer l’accès des pirates aux comptes compromis vers le 13 janvier.

« Nous sommes en train d’informer les employés dont la messagerie électronique a été consultée », a déclaré Microsoft, ajoutant que son enquête indique que les pirates ciblaient initialement les comptes de messagerie pour obtenir des informations liées à leurs activités.

La divulgation de Microsoft intervient un mois après l’entrée en vigueur d’une nouvelle règle de la Securities and Exchange Commission des États-Unis qui oblige les sociétés cotées en bourse à divulguer les violations qui pourraient avoir un impact négatif sur leurs activités. Il leur donne quatre jours pour le faire, à moins qu’ils n’obtiennent une dérogation pour des raisons de sécurité nationale.

Dans le dossier réglementaire déposé vendredi auprès de la SEC, Microsoft a déclaré qu’« à la date de ce dossier, l’incident n’a pas eu d’impact matériel » sur ses opérations. Elle a ajouté qu’elle n’avait toutefois pas « déterminé si l’incident était raisonnablement susceptible d’avoir un impact important » sur ses finances.

Microsoft, dont le siège est à Redmond, dans l’État de Washington, a déclaré que les pirates informatiques de l’agence russe de renseignement extérieur SVR avaient pu y accéder en compromettant les informations d’identification d’un compte test « ancien », suggérant que son code était obsolète.

Après avoir pris pied, ils ont utilisé les autorisations du compte pour accéder aux comptes de l’équipe de direction et d’autres personnes. La technique d’attaque par force brute utilisée par les pirates informatiques est appelée « pulvérisation de mots de passe ».

L’acteur malveillant utilise un seul mot de passe commun pour tenter de se connecter à plusieurs comptes. Dans un article de blog publié en août, Microsoft a décrit comment son équipe de renseignement sur les menaces a découvert que la même équipe de piratage russe avait utilisé cette technique pour tenter de voler les informations d’identification d’au moins 40 organisations mondiales différentes via les discussions Microsoft Teams.

« L’attaque n’était pas le résultat d’une vulnérabilité dans les produits ou services Microsoft », a indiqué la société sur son blog. « À ce jour, rien ne prouve que l’acteur malveillant ait eu accès aux environnements clients, aux systèmes de production, au code source ou aux systèmes d’IA. Nous informerons les clients si une action est requise. »

Microsoft appelle l’unité de piratage Midnight Blizzard. Avant de réorganiser sa nomenclature des acteurs menaçants l’année dernière, elle a appelé le groupe Nobelium. La société de cybersécurité Mandiant, propriété de Google, appelle le groupe Cozy Bear.

Dans un article de blog de 2021, Microsoft a qualifié la campagne de piratage de SolarWinds d’« attaque d’État-nation la plus sophistiquée de l’histoire ». Outre les agences gouvernementales américaines, notamment les ministères de la Justice et du Trésor, plus de 100 entreprises privées et groupes de réflexion ont été compromis, notamment des fournisseurs de logiciels et de télécommunications.

L’objectif principal du SVR est la collecte de renseignements. Il cible principalement les gouvernements, les diplomates, les groupes de réflexion et les fournisseurs de services informatiques aux États-Unis et en Europe.

https://techxplore.com/news/2024-01-microsoft-state-russian-hackers-accessed.html

https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/

https://microsoft.gcs-web.com/static-files/931d7780-ccfc-47e3-97ad-09d87e12b795