L’attaque précédemment révélée est pire qu’on ne le pensait initialement – et elle se poursuit
Paume faciale : Microsoft a publié une nouvelle mise à jour concernant l’attaque d’un État-nation découverte en janvier. Les pirates informatiques parrainés par le Kremlin, connus sous le nom de « Midnight Blizzard », ont infligé des dégâts importants, et Redmond confirme qu’ils tentent toujours de perturber ses systèmes.
L’équipe de sécurité de Microsoft a détecté plus tôt cette année une attaque contre ses systèmes qui se poursuivait depuis novembre 2023. Les coupables ont été identifiés comme étant le groupe de cyber-espionnage russe connu sous le nom de Midnight Blizzard, Apt29, Nobelium ou Cozy Bear. Microsoft a initialement minimisé les dégâts causés à ses réseaux d’entreprise.
Cependant, une enquête plus approfondie menée par Microsoft a révélé des preuves d’intrusions supplémentaires de la part des pirates de Midnight Blizzard au cours des dernières semaines. Ces espions du Kremlin ont utilisé les informations exfiltrées lors de l’attaque initiale pour obtenir d’autres accès non autorisés, obtenant ainsi un certain succès.
Les pirates ont piraté certains des référentiels de code source de Microsoft et des « systèmes internes » non spécifiés. À ce jour, Redmond n’a trouvé aucune preuve que les systèmes hébergés destinés aux clients (y compris la plateforme Azure) aient été compromis. Cette situation pourrait toutefois évoluer au fur et à mesure de l’avancée de l’enquête dans les semaines à venir.
Microsoft a initialement déclaré qu’il n’y avait aucune preuve d’intrusion potentielle dans les environnements clients, les systèmes de production et les archives de code source de l’entreprise. L’enquête en cours a révélé des tentatives supplémentaires de Midnight Blizzard visant à utiliser divers « secrets » volés lors de l’attaque initiale pour de nouvelles initiatives de piratage.
Certains de ces secrets proviennent d’e-mails échangés entre Microsoft et ses clients. L’entreprise a contacté toutes les parties concernées pour recommander des « mesures d’atténuation » appropriées. En janvier, Midnight Blizzard a compromis un ancien compte de test hors production à l’aide d’une attaque par pulvérisation de mot de passe – une tentative de deviner un mot de passe utilisateur connu à partir d’une liste de mots de passe courants.
Selon Microsoft, les attaques par pulvérisation de mots de passe et autres attaques par force brute menées par Midnight Blizzard ont été multipliées par dix en février par rapport au « volume important » d’attaques de janvier 2024. Les pirates du Kremlin affichent un engagement soutenu et « significatif » de ressources, coordination et concentration pour attaquer les systèmes Microsoft. On craint qu’ils puissent exploiter les informations récemment volées pour identifier de nouvelles zones d’attaque. Cela montre la sophistication et la nature sans précédent des cyberattaques contre les États-nations.
