Cyberguerre : Comment Midnight Blizzard a récupéré les courriels d’agences fédérales américaines

Nous n’avons pas fini d’observer les effets de l’intrusion dans les systèmes de Microsoft de Midnight Blizzard, APT russe à l’origine de l’attaque SolarWinds. La CISA, autorité américaine en charge de la cybersécurité et de la sécurité des infrastructures informatiques, a publié jeudi une directive d’urgence ordonnant aux agences gouvernementales américaines touchées lors du piratage de Microsoft par Midnight Blizzard de « prendre des mesures correctives immédiates ».

Le 19 janvier, Microsoft a révélé qu’un acteur national russe, connu sous le nom de Midnight Blizzard – mais également actif sous les noms de Cozy Bear et APT29 – avait accédé à « un très petit pourcentage de comptes de la messagerie d’entreprise de Microsoft ». La CISA a révélé jeudi que ces comptes de messagerie intégraient de la correspondance avec des agences fédérales civiles appartenant au pouvoir exécutif américain.

Midnight Blizzard, qui est également à l’origine de l’attaque massive de la chaîne d’approvisionnement contre SolarWinds révélée en 2020, a pénétré dans les systèmes Microsoft via une attaque par pulvérisation de mot de passe ciblant un compte de test. L’attaque a débuté en novembre et a été découverte le 12 janvier.

En mars, Microsoft déclarait que Midnight Blizzard avait non seulement obtenu des courriels et des documents, mais aussi accédé au code source et à des systèmes internes. En outre, le groupe de cyberdélinquants s’est emparé de secrets cryptographiques et a tenté de les utiliser contre d’autres clients de Microsoft.

À cette fin, la dernière directive d’urgence de la CISA, ED 24-02, couvre les objectifs de l’agence américaine de cybersécurité visant à atténuer les risques pour les agences gouvernementales touchées par l’attaque de Midnight Blizzard. Datée du 2 avril et publiée jeudi, la directive d’urgence indique que l’acteur de la menace « a exfiltré la correspondance électronique entre les agences de l’exécutif civil fédéral (FCEB) et Microsoft grâce à une compromission réussie des comptes de messagerie de Microsoft ».

« Midnight Blizzard utilise les informations initialement exfiltrées des systèmes de messagerie de l’entreprise, y compris les détails d’authentification partagés entre les clients de Microsoft et Microsoft par courrier électronique, pour obtenir, ou tenter d’obtenir, un accès supplémentaire aux systèmes des clients de Microsoft », a déclaré la CISA. « Le fait qu’il ait réussi à compromettre les comptes de messagerie de Microsoft et à exfiltrer la correspondance entre les agences et Microsoft représente un risque grave et inacceptable pour les agences ».

Afin d’atténuer ce risque, la CISA a ordonné aux agences gouvernementales américaines concernées par la violation de prendre des mesures immédiates pour remédier aux informations chiffrées (telles que les mots de passe ou les clés API) dont la compromission est avérée ou suspectée, d’analyser entièrement la correspondance de l’agence avec les comptes Microsoft compromis et d’informer la CISA dans le cas où une compromission est avérée ou suspectée. Les agences ont été invitées à informer la CISA avant la fin de la journée du 8 avril et à fournir une mise à jour de l’état de la situation avant la fin de la journée du 1er mai.

Selon la directive, Microsoft fournira les métadonnées des courriels contenant des secrets cryptographiques aux agences exposées, ainsi que les métadonnées de toute correspondance avec des agences fédérales à la demande de la National Cyber Investigative Joint Task Force (groupe de travail conjoint pour les enquêtes sur la cybercriminalité). La CISA, quant à elle, fournira aux agences concernées une assistance technique et analytique si cela est nécessaire.

Bien que les exigences de la directive ne s’appliquent qu’aux agences du FCEB, la CISA a déclaré que d’autres organisations pourraient également avoir été affectées par la violation de Midnight Blizzard et a encouragé les clients à contacter leurs interlocuteurs commerciaux Microsoft respectifs pour obtenir des conseils.

Lors d’une conférence de presse organisée la semaine dernière par la CISA, Eric Goldstein, directeur adjoint exécutif de l’autorité chargée de la cybersécurité, a déclaré : « À l’heure actuelle, nous n’avons connaissance d’aucun environnement de production d’une agence qui aurait été compromis à la suite de l’exposition d’informations d’identification ».

S’exprimant directement auprès de la rédaction de TechTarget (maison mère du MagIT), un porte-parole de Microsoft a fait la déclaration suivante : « Comme nous l’avons indiqué dans notre billet publié le 8 mars, au fur et à mesure que nous découvrons des informations confidentielles dans les courriels exfiltrés, nous collaborons avec nos clients pour les aider à enquêter et à atténuer les conséquences de l’intrusion. […] Cela inclut notre collaboration avec la CISA sur une directive d’urgence visant à fournir des conseils aux agences gouvernementales. »

Dans un rapport publié début avril 2024, le comité d’examen de la cybersécurité du ministère américain de la Sécurité intérieure avait estimé que la culture de Microsoft en matière de sécurité était « inadéquate et nécessitait une refonte ».