Vendredi, Microsoft a publié un article sur son blog concernant les conséquences d'un piratage russe dévastateur. Les hackers, attribués aux services de renseignement extérieurs russes, avaient été repérés, début 2024, dans les systèmes internes de Microsoft. Le groupe américain de logiciels, qui propose avec Windows le système d'exploitation pour PC le plus répandu au monde, informe désormais sur les conséquences de cette situation.
Selon ce rapport, les spécialistes de la sécurité de Microsoft ont trouvé ces dernières semaines des «preuves» que les pirates russes utilisaient des données qu'ils avaient «filtrées à partir des systèmes de messagerie d'entreprise de Microsoft».
Selon un article de blog, les pirates ont pu obtenir un accès non autorisé aux systèmes internes de Microsoft. Et ils ont apparemment aussi pu accéder à des dépôts de logiciels - des plateformes en ligne en soi bien protégées sur lesquelles est stocké le code source des programmes.
L'article de blog ne précise pas si le code source a été exfiltré, c'est-à-dire volé. Les pirates auraient toutefois utilisé les informations trouvées dans les e-mails volés pour s'introduire dans les systèmes de Microsoft et de ses clients. Ils auraient également tenté de deviner les mots de passe de connexion par le biais de «spraying».
Il est évident que les pirates tentent d'utiliser les «secrets» trouvés de différentes manières, peut-on lire sur le blog. On n'en comprend pas vraiment le sens. Microsoft assure avoir informé les personnes concernées.
Bien que Microsoft n'ait pas expliqué précisément ce que contenaient les «secrets» volés, il s'agissait probablement de «jetons d'authentification, de clés API ou d'informations de connexion», écrit Bleeping Computer. Il convient de noter qu'à l'origine, les pirates ont pu obtenir l'accès parce qu'un compte test Microsoft n'était pas protégé par une authentification à facteurs multiples.
Cozy Bear, également appelé Midnight Blizzard, Nobelium ou APT29 par les entreprises de sécurité informatique, est un groupe de pirates informatiques d'élite parrainé par l'Etat russe et lié aux services de renseignement extérieurs russes (SVR).
Leurs membres sont considérés comme des experts techniques, ils développent leurs propres logiciels malveillants sur-mesure pour les attaques.
Cozy Bear a fait les gros titres dans le monde entier en 2020 avec l'attaque SolarWinds. Les pirates ont compromis ce logiciel de gestion informatique populaire et y ont introduit un outil d'attaque («Sunburst»). Ils ont ainsi pu déployer leur logiciel malveillant sur les systèmes des victimes en tant que mise à jour régulière.
Comme la mise à jour malveillante était signée numériquement et provenait d'une source fiable, les pirates ont pu accéder à des cibles de haut niveau et se cacher à la vue de tous. Selon les experts en informatique, de telles attaques de la chaîne d'approvisionnement sont très difficiles à détecter.
Au total, les pirates ont pu infiltrer 40 autres organisations qui n'étaient même pas clientes de SolarWinds. Les conséquences de la cyberattaque ont été massives. Des failles dans les logiciels Microsoft et VMware ont également permis aux attaquants d'accéder à des documents sensibles.
Microsoft a confirmé par la suite que le piratage avait permis de voler «le code source d'un nombre limité de composants Azure, Intune et Exchange».
En juin 2021, le groupe de pirates russes s'est à nouveau introduit dans un compte d'entreprise Microsoft et a eu accès à des outils d'assistance à la clientèle, comme le rappelle aujourd'hui Bleeping Computer. Depuis lors, Cozy Bear a été associé à de nombreuses attaques de cyberespionnage contre des pays de l'Otan et de l'UE.
Traduit de l’allemand par Lara Lack