Microsoft met en garde les pirates russes qui tentent toujours de s'introduire dans ses systèmes

information fournie par Reuters •08/03/2024 à 20:52

((Traduction automatisée par Reuters, veuillez consulter la clause de non-responsabilité https://bit.ly/rtrsauto))

(Nouveau dans l'ensemble, avec des commentaires d'analystes et des éléments de contexte) par Zeba Siddiqui et Raphael Satter

Microsoft MSFT.O a déclaré vendredi que des pirates informatiques liés aux services de renseignements étrangers russes tentaient à nouveau de pénétrer dans ses systèmes, en utilisant des données volées dans des courriels d'entreprise en janvier pour obtenir un nouvel accès au géant de la technologie dont les produits sont largement utilisés par l'establishment de la sécurité nationale américaine.

Cette révélation a alarmé certains analystes qui ont fait part de leurs inquiétudes quant à la sécurité des systèmes et des services de Microsoft, l'un des plus grands fabricants de logiciels au monde, qui fournit des services et des infrastructures numériques au gouvernement américain.

Les analystes se sont inquiétés des risques pour la sécurité nationale. Microsoft a déclaré qu'un groupe parrainé par l'État russe, appelé Midnight Blizzard ou Nobelium, était à l'origine de ces intrusions.

L'ambassade de Russie à Washington n'a pas immédiatement répondu à une demande de commentaire sur la déclaration de Microsoft, et n'a pas non plus répondu aux précédentes déclarations de Microsoft sur l'activité de Midnight Blizzard.

Microsoft a révélé la faille en janvier, indiquant que les pirates avaient tenté de s'introduire dans les comptes de messagerie de l'entreprise , y compris ceux des dirigeants de l'entreprise ainsi que des services de cybersécurité, des services juridiques et d'autres fonctions.

"Ces dernières semaines, nous avons eu la preuve que Midnight Blizzard utilise des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise pour obtenir, ou tenter d'obtenir, un accès non autorisé", a déclaré l'entreprise technologique dans un nouveau blog.

Compte tenu du vaste réseau de clients de Microsoft, il n'est pas surprenant qu'il soit visé, a déclaré Jerome Segura, chercheur principal en menaces au laboratoire Threatdown de la société de cybersécurité Malwarebytes. Il a ajouté qu'il était déconcertant que l'attaque soit toujours en cours malgré les efforts de Microsoft pour en contrecarrer l'accès.

"Le fait que l'un des plus grands fournisseurs de logiciels apprenne lui-même les choses au fur et à mesure est un peu effrayant", a déclaré M. Segura. "Vous n'avez pas l'assurance, si vous êtes client, qu'il ne se passe pas quelque chose de plus grave"

Ces attaques témoignent également de l'agressivité des pirates, a-t-il ajouté.

Parmi les données dérobées par les pirates figurent des accès à des référentiels de code source et à des systèmes internes, a indiqué Microsoft . La société possède GitHub, un dépôt public de code logiciel pour diverses applications, a déclaré Segura de Malwarebytes.

"C'est le genre de chose qui nous inquiète vraiment", a déclaré Segura. "Le pirate voudrait utiliser (les secrets de Microsoft) pour pénétrer dans les environnements de production, puis compromettre les logiciels et installer des portes dérobées et d'autres choses de ce genre

Auparavant, Microsoft avait déclaré que les pirates s'étaient introduits dans les courriels du personnel en utilisant un compte dormant par le biais d'une attaque par "pulvérisation de mot de passe", c'est-à-dire en utilisant le même mot de passe sur plusieurs comptes jusqu'à ce qu'ils parviennent à s'introduire dans l'un d'entre eux. Ces attaques ont été multipliées par dix lors des dernières tentatives de Midnight Blizzard, par rapport à la brèche de janvier, a indiqué Microsoft dans son blog.

"Il semble qu'il s'agisse de quelque chose de très ciblé, et si (les pirates) sont si profondément enfouis dans Microsoft, et que Microsoft n'a pas été en mesure de les faire sortir en deux mois, alors il y a une énorme inquiétude", a déclaré Adam Meyers, vice-président senior de la société de cybersécurité Crowdstrike, qui suit le piratage des États-nations.

dES SECRETS DE DIFFÉRENTS TYPES

Midnight Blizzard est connu pour cibler les gouvernements, les entités diplomatiques et les organisations non gouvernementales, selon divers analystes qui suivent le groupe. Dans sa déclaration de janvier, Microsoft a indiqué que Midnight Blizzard la visait probablement parce que l'entreprise a mené des recherches approfondies pour démêler les opérations du groupe de pirates.

L'équipe de renseignement sur les menaces de Microsoft enquête et partage ses recherches sur Nobelium depuis au moins 2021, date à laquelle le groupe s'est révélé être à l'origine de la cyberattaque SolarWinds qui a compromis un grand nombre d'agences gouvernementales américaines.

Les tentatives persistantes d'intrusion dans Microsoft sont le signe d'un "engagement soutenu et significatif des ressources, de la coordination et de la concentration de l'acteur de la menace", a déclaré la société vendredi.

"Il est évident que Midnight Blizzard tente d'utiliser les secrets de différents types qu'il a trouvés", a-t-elle ajouté.

"Certains de ces secrets ont été partagés entre des clients et Microsoft dans des courriels, et au fur et à mesure que nous les découvrons dans nos courriels exfiltrés, nous avons pris contact avec ces clients pour les aider à prendre des mesures d'atténuation"

Microsoft n'a pas donné le nom des clients concernés.