Recevez chaque jour toute l'actualité du numérique

x

Des hackers chinois ciblent les messageries professionnelles d'ONG et d'avocats, alerte Microsoft

Un groupe de hackers d'origine chinoise, baptisé Hafnium, a lancé une campagne de cyberattaques contre Microsoft Exchange, le logiciel de messagerie professionnelle. Il a ciblé des cabinets d'avocats, des ONG et des chercheurs pour leur dérober des informations. La firme de Redmond a publié un correctif mais refuse de dire combien de victimes a fait cet incident.
Twitter Facebook Linkedin Flipboard Email
×

Des hackers chinois ciblent les messageries professionnelles d'ONG et d'avocats, alerte Microsoft
Des hackers chinois ciblent les messageries professionnelles d'ONG et d'avocats, alerte Microsoft © Pixies/Pixabay

Microsoft annonce dans un billet de blog qu'un groupe de hackers, "hautement qualifié et sophistiqué", cible le logiciel de messagerie professionnelle Exchange. Son objectif est de dérober le contenu des boîtes mails de ses victimes. 

En réaction, la firme américaine a publié un correctif pour quatre vulnérabilités "zero-day", c'est-à-dire des vulnérabilités qui n'ont pas encore été détectées et documentées. Elle a également averti les agences gouvernementales américaines compétentes de la situation. En revanche, elle a refusé de dire combien d'attaques avaient réussi. 

Des ONG, des avocats... ciblés
Le Microsoft Threat Intelligence Center (MSTIC), un groupe d'experts spécialisé dans la sécurité informatique, affirme que ce groupe de cybercriminels, baptisé Hafnium, est lié à la Chine. Il cible des entités américaines, telles que des chercheurs en maladie infectieuse, des cabinets d'avocats et des ONG pour leur voler des informations. 

Le mode opératoire d'Hafnium se compose en trois étapes. La première consiste à accéder à un serveur Exchange avec des mots de passe volés ou en utilisant des failles non découvertes. Puis, les hackers implantent un web shell pour contrôler à distance le serveur compromis. Enfin, ils utilisent cet accès à distance – exécuté depuis des VPS situés aux Etats-Unis – pour exfiltrer des données. 

Mike McLellan, director of intelligence for Dell Technologies Inc's Secureworks, a raconté à Reuters qu'il avait remarqué "un pic d'activité" touchant les serveurs Exchange dans la nuit de dimanche. Une dizaine de clients de son entreprise aurait été affectée.
 

Microsoft sous le feu des projecteurs depuis SolarWinds
Les produits Microsoft sont scrutés de très près depuis l'attaque SolarWinds, révélée en décembre dernier, qui a débouché sur la compromission de plusieurs versions du logiciel Orion. En effet, la firme de Redmond a annoncé que les hackers avaient accédé à certaines parties du code source d'Azure liées à "l'identité et la sécurité", à la messagerie professionnelle sécurisée Exchange et à l'outil d'administration d'appareils mobiles Intune. En revanche, elle affirmait qu'aucun de ses produits ou services n'a servi de relais d'attaque.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.