Microsoft reconnaît que des pirates russes lui ont volé du code source et des documents sensibles
Après un premier piratage en novembre, Microsoft révèle que le groupe de hackers Midnight Blizzard, soupçonné d’être affilié aux services de renseignement russe, continue de s’en prendre à ses systèmes. Une attaque d’ampleur, les cybercriminels ayant eu accès à “certains référentiels de code source et systèmes internes de l’entreprise”.
Microsoft a publié de nouvelles informations, le 8 mars, sur la cyberattaque qu’il a subi en novembre dernier, et qu’il n’avait détecté que deux mois plus tard. Le 19 janvier, l’entreprise révélait avoir été victime d’une intrusion orchestrée par le groupe de cybercriminels russes Midnight Blizzard, aussi connu sous les noms Nobelium, Cozy Bear ou APT29.
Une première infiltration via un compte de test inutilisé
Ce groupe, soupçonné de faire partie des services de renseignement extérieur de la Russie, avait alors eu accès aux comptes e-mail de plusieurs dirigeants de Microsoft. Parmi ces comptes, celui de Brad Smith, président et responsable des affaires publiques, et d’Amy Hood, directrice financière, mais aussi d’employés travaillant sur la cybersécurité et aux fonctions juridiques.
Pour infiltrer les systèmes de Microsoft, les cybercriminels avaient repéré un compte de test inutilisé, avant d’y accéder via une attaque par pulvérisation de mots de passe. La firme de Redmond avait ensuite confirmé que l’authentification multifacteur n’était pas activée pour ce compte, et que les hackers avaient eu accès à des informations les concernant dans les boîtes mail piratées.
À l’époque, Microsoft affirmait qu’il n’y avait aucune preuve que les hackers aient eu accès aux “environnements clients, aux systèmes de production, au code source ou aux systèmes d’intelligence artificielle”. Or après avoir enquêté, la multinationale a annoncé vendredi que les accès non-autorisés incluent désormais “certains référentiels de code source et systèmes internes de l’entreprise”.
Des pratiques cybercriminelles multipliées par dix en un mois
Microsoft insiste sur la menace croissante que représente le groupe de hackers russes : “Midnight Blizzard a, en février, multiplié par dix le volume de certains aspects de l’attaque, tels que les pulvérisations de mots de passe, par rapport au volume déjà important que nous avons observé en janvier”. La société affirme qu’il est “évident” que les hackers russes “tentent d’utiliser les différents types de secrets” qu’ils ont découvert. La firme n’a pas souhaité s’étendre sur la nature de ces “secrets”, mais il pourrait s’agir, selon certains chercheurs en cybersécurité, de jetons d’authentification, d’identifiants ou de clés API.
Le groupe de cybercriminels Midnight Blizzard cible principalement de grandes entreprises, des administrations ou des ONG, afin de collecter des informations sur les intérêts étrangers. Le parti démocrate américain, le gouvernement norvégien ou encore certains ministères néerlandais figurent parmi ses victimes. Le gang est aussi à l’origine, en 2020, de la cyberattaque sur SolarWinds, société américaine de gestion centralisée de réseaux. Une attaque lui ayant permis d’avoir accès au code source de certains composants pour Microsoft Azure, Intune et Exchange.
Microsoft affirme avoir commencé à contacter les clients dont les “secrets” ont été exposés. Un vol de code source, de jetons d’authentification ou de clés API pourrait conduire à ce que les systèmes des clients soient eux-même infiltrés par les hackers, ces derniers pouvant se faire passer pour Microsoft. Un risque important, d’autant que les 2000 plus grandes entreprises au monde utilisent toutes Windows et Office.
Dans le dossier transmis à la Securities and Exchange Commission (SEC), la multinationale affirme : “Nous avons augmenté nos investissements en matière de sécurité, de coordination et de mobilisation entre entreprises, et avons amélioré notre capacité à nous défendre et à sécuriser notre environnement contre cette menace persistance avancée.”
Source : usine-digitale.fr