Des espions liés à la Russie restés plusieurs mois dans le SI de HPE

Après Microsoft, Hewlett Packard Enterprise (HPE). Dans une déclaration à la SEC, le gendarme des marchés boursiers américains, HPE indique avoir été informé, le 12 décembre dernier, « qu’un acteur soupçonné d’appartenir à un État-nation, supposé être l’acteur malveillant Midnight Blizzard, l’acteur parrainé par un État également connu sous le nom de Cozy Bear, avait obtenu un accès non autorisé à l’environnement de messagerie électronique de HPE basé sur le cloud ». 

Mais l’enquête engagée par HPE à l’issue de cette notification suggère une intrusion bien antérieure : « nous pensons maintenant que l’acteur malveillant a consulté et exfiltré des données à partir de mai 2023 ». Seul serait concerné « un petit pourcentage de boîtes de messagerie HPE appartenant à des personnes dans nos segments cybersécurité, commercialisation, métiers et d’autres fonctions ».

HPE estime en outre que ces activités malveillantes sont liées à d’autres, survenues à la même période : « la société comprend maintenant que cet incident est probablement lié à une activité antérieure de cet acteur malveillant, dont nous avons été informés en juin 2023, impliquant un accès non autorisé et l’exfiltration d’un nombre limité de fichiers SharePoint dès mai 2023 ». 

L’enquête conduite à ce moment-là a peut-être permis de « déterminer que cette activité n’a pas eu d’impact matériel sur la société », mais elle est donc passée à côté d’autres activités.

Cet incident en rappelle un autre : l’intrusion dans les comptes de messagerie de plusieurs cadres supérieurs de Microsoft, par le même acteur malveillant. Tout juste révélé, cet incident a été détecté le 12 janvier, mais apparaît avoir commencé fin novembre dernier.