Microsoft victime d’une intrusion de l’APT russe à l’origine de l’attaque SolarWinds

Microsoft a déclaré vendredi qu’un acteur notoirement parrainé par l’État russe, connu sous le nom de Midnight Blizzard, avait pénétré dans le réseau du géant de la technologie et accédé à « un très petit pourcentage de comptes de messagerie d’entreprise Microsoft ».

Midnight Blizzard, appelé auparavant Nobelium, est surtout connu comme l’acteur de la menace à l’origine de la fameuse attaque de la chaîne d’approvisionnement contre SolarWinds à la fin de 2020. Le groupe de menaces persistantes avancées (APT), plus connu sous le nom de Cozy Bear et APT29, s’est introduit dans le système d’information de SolarWinds et a empoisonné les mises à jour logicielles de la plateforme Orion de l’éditeur avec des implants malveillants, que plus de 18 000 clients ont installés. Les pirates ont utilisé ces implants pour accéder aux réseaux de centaines de victimes, dont des agences gouvernementales américaines, Microsoft, Intel, Cisco et d’autres.

Microsoft a révélé que Midnight Blizzard a de nouveau frappé il y a deux mois. Dans un billet de blog publié vendredi, l’entreprise a déclaré avoir détecté le 12 janvier une attaque d’un État-nation contre des systèmes d’entreprise et avoir pris des mesures immédiates pour « enquêter, interrompre l’activité malveillante, atténuer l’attaque et empêcher l’acteur de la menace d’accéder à d’autres systèmes ».

« À partir de la fin novembre 2023, l’acteur malveillant a utilisé une attaque par pulvérisation de mot de passe pour compromettre un compte de tenant de test non productif et y prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d’entreprise Microsoft, y compris des membres de notre équipe de direction et des employés de nos fonctions de cybersécurité, juridiques et autres, et a exfiltré des courriels et des documents joints », peut-on lire dans le billet de blog.

Selon Microsoft, l’attaque n’est pas due à une vulnérabilité des produits et services Microsoft, et il n’y a « aucun indice » d’accès à des environnements clients ou à des systèmes de production. « L’enquête indique que les auteurs de l’attaque ont d’abord ciblé des comptes de messagerie pour obtenir des informations relatives à Midnight Blizzard lui-même », indique le géant de Redmond.

Dans un document 8-K déposé la semaine dernière auprès de la Securities and Exchange Commission américaine, Microsoft a déclaré avoir été « en mesure de supprimer l’accès de l’acteur de la menace aux comptes de messagerie le 13 janvier 2024 ou aux alentours de cette date ». La société a déclaré qu’elle continuait d’enquêter sur la violation et d’examiner l’accès aux données par Midnight Blizzard afin d’en déterminer l’impact.

TechTarget Editorial a demandé à Microsoft si des informations susceptibles de concerner les données des clients avaient été compromises dans le cadre de l’attaque, mais l’entreprise s’est refusée à tout commentaire. Au lieu de cela, un porte-parole de Microsoft a partagé la déclaration suivante, qui fait écho à l’article de blog : « Notre équipe de sécurité a récemment détecté une attaque sur nos systèmes d’entreprise attribuée à l’acteur parrainé par l’État russe Midnight Blizzard. Nous avons immédiatement activé notre processus de réponse pour enquêter, interrompre l’activité malveillante, atténuer l’attaque et empêcher l’acteur de la menace d’accéder à d’autres systèmes. L’attaque ne résultait pas d’une vulnérabilité des produits ou services Microsoft. À ce jour, rien ne prouve que l’auteur de la menace ait eu accès aux environnements des clients, aux systèmes de production, au code source ou aux systèmes d’intelligence artificielle. De plus amples informations sont disponibles sur notre blog ».

Le billet de blog mentionne également l’initiative Secure Future, le plan de Microsoft annoncé à l’automne dernier pour promouvoir la transparence et améliorer la cybersécurité au sein de sa propre organisation et dans l’ensemble de l’écosystème technologique. Cette initiative fait suite à des années de critiques de la part du secteur de la cybersécurité à l’égard des pratiques de Microsoft en matière de transparence, d’application de correctifs et de communication.

« Comme nous l’avons dit à la fin de l’année dernière lorsque nous avons annoncé l’initiative Secure Future (SFI), étant donné la réalité des acteurs de la menace qui ont des ressources et sont financés par des États-nations, nous sommes en train de modifier l’équilibre que nous devons trouver entre la sécurité et le risque commercial – le type de calcul traditionnel n’est tout simplement plus suffisant », peut-on lire dans le billet de blog. « Pour Microsoft, cet incident a mis en évidence le besoin urgent d’agir encore plus vite. Nous agirons immédiatement pour appliquer nos normes de sécurité actuelles aux systèmes patrimoniaux et aux processus métiers internes à Microsoft, même si ces changements risquent de perturber les processus métiers existants ».