Microsoft déclare que les pirates russes ont également ciblé d’autres organisations
Dans un récent billet de blog, Microsoft a révélé que les pirates russes qui ont pénétré dans SolarWinds ont également ciblé d’autres organisations, notamment des agences gouvernementales, des groupes de réflexion, des consultants et des organisations non gouvernementales. La société a indiqué que les pirates avaient utilisé diverses techniques pour accéder aux réseaux des victimes, notamment le craquage de mots de passe, la force brute et l’hameçonnage.
Microsoft a déclaré qu’elle suivait l’activité des pirates, qu’elle appelle Nobelium, depuis décembre 2020, lorsqu’elle a découvert qu’ils avaient compromis SolarWinds, un éditeur de logiciels qui fournit des outils de gestion de réseau à des milliers de clients. Les pirates ont inséré un code malveillant dans les mises à jour logicielles de SolarWinds, ce qui leur a permis d’écouter les communications et les données des organisations concernées.
Selon Microsoft, Nobelium a continué à lancer des attaques contre diverses entités impliquées dans le développement international, le travail humanitaire et les droits de l’homme. L’entreprise a déclaré avoir notifié tous ses clients qui ont été attaqués ou compromis par les pirates et leur avoir fourni des conseils et des ressources pour protéger leurs systèmes.
Microsoft a également indiqué qu’elle travaillait avec le gouvernement américain et d’autres partenaires pour partager des informations et coordonner les réponses à la menace. L’entreprise a exhorté toutes les organisations à prendre des mesures pour se protéger contre les cyberattaques, notamment en activant l’authentification multifactorielle, en mettant à jour les logiciels et les systèmes et en sensibilisant les employés à l’hameçonnage et à l’ingénierie sociale.
Dans une récente mise à jour, Microsoft a révélé plus de détails sur la cyberattaque sophistiquée menée par Midnight Blizzard, un groupe de pirates informatiques soutenu par la Russie. Les attaquants ont utilisé une technique appelée «password spraying», qui consiste à essayer des mots de passe communs sur plusieurs comptes, pour pénétrer dans un ancien système de messagerie électronique que Microsoft était en train de mettre hors service. Les attaquants ont ensuite utilisé les comptes compromis pour accéder à un petit nombre de comptes de messagerie d’entreprise de Microsoft, appartenant principalement à des cadres supérieurs et à des employés de départements sensibles. Ils ont également téléchargé des courriels et des pièces jointes à partir de ces comptes.
L’un des aspects les plus intéressants de l’attaque est que les pirates semblent chercher à obtenir des informations sur eux-mêmes et sur leurs activités, sans doute pour évaluer ce que Microsoft sait d’eux et de leurs méthodes. Microsoft a déclaré qu’elle travaillait en étroite collaboration avec les autorités et d’autres partenaires pour enquêter et répondre à l’incident, et qu’elle avait pris des mesures pour améliorer son dispositif de sécurité et protéger ses clients.
Une autre entreprise touchée par la campagne Midnight Blizzard est Hewlett Packard Enterprise (HPE), qui a annoncé jeudi que son système de messagerie hébergé par Microsoft avait été violé par le même groupe. HPE a déclaré avoir été informée de la violation le 12 décembre et que sa propre enquête a révélé que les attaquants ont accédé et extrait des données d’un petit pourcentage des boîtes aux lettres de HPE à partir de mai 2023. HPE a également déclaré que cet incident était lié à un autre incident antérieur. Les pirates ont volé des fichiers SharePoint sur son réseau.
Le lien entre les deux incidents n’est pas clair à ce stade, mais il semble que Midnight Blizzard ait mené une opération d’espionnage ciblée à long terme contre plusieurs entreprises et organisations. La portée et l’impact de ces activités sont encore inconnus, mais ils démontrent le haut niveau de sophistication et de persistance de cet acteur de la menace.
