Des hackers russes sont bien à l’origine de la cyberattaque contre Microsoft en janvier

La Cybersecurity and Infrastructure Security Agency (CISA), agence fédérale américaine chargée de la cybersécurité, a confirmé, dans un communiqué publié le 11 avril, qu’un groupe de hackers, soutenu par le gouvernement russe, était à l’origine de la cyberattaque contre Microsoft en janvier dernier.

Les hackers soupçonnés de travailler pour le renseignement extérieur russe

Le 19 janvier, la firme de Redmond avait indiqué être victime d’une cyberattaque, qui avait ciblé ses comptes de messagerie d’entreprise, y compris certains dirigeants de la multinationale. Elle soupçonnait déjà le groupe de hackers. En mars, après une enquête interne, elle révélait que les accès non-autorisés incluaient aussi “certains référentiels de code source et systèmes internes de l’entreprise”.

“Midnight Blizzard utilise des informations initialement exfiltrées des systèmes de messagerie d’entreprise Microsoft, y compris les détails d’identification partagés entre les clients Microsoft et par courrier électronique pour obtenir ou tenter d'obtenir un accès supplémentaire à certains systèmes clients Microsoft, précise la CISA. Microsoft et la CISA ont informé toutes les agences fédérales dont la correspondance électronique avec Microsoft a été identifiée comme exfiltrée par Midnight Blizzard.” Ce groupe de hackers, aussi connu sous les noms d’APT29, Cozy Bear ou Nobelium, est soupçonné de travailler pour le SVR, le service de renseignement extérieur de la Russie.

“Un risque grave et inacceptable” pour les agences fédérales

L’agence fédérale américaine s’inquiète de l’ampleur de la cyberattaque, expliquant que la compromission des comptes de messagerie et l’exfiltration de la correspondance entre les agences fédérales et Microsoft “présentent un risque grave et inacceptable pour les agences”. La CISA n’a pas listé les agences fédérales touchées par le piratage d’emails.

Pour permettre aux agences fédérales de se prémunir contre la cyberattaque, la CISA a émis au début du mois une directive d’urgence, rendue publique hier. Cette directive fournit des obligations en matière d’analyse des emails potentiellement concernés, de réinitialisation de toutes les informations d’identification ayant été piratées, et de mesures supplémentaires concernant les comptes Microsoft Azure.

“Cette directive d’urgence nécessite une action immédiate de la part des agences pour réduire les risques pour nos systèmes fédéraux, a déclaré Jen Easterly, directrice de la CISA. Depuis plusieurs années, le gouvernement américain a documenté les cyberactivités malveillantes comme un élément standard du schéma russe ; cette dernière compromission de Microsoft s’ajoute à leur longue liste.”

Un groupe de hackers bien connu

Midnight Blizzard n’en est pas à son coup d’essai. En 2020, le groupe de cybercriminels était à l’origine de la cyberattaque contre SolarWinds, entreprise américaine fournissant des outils de gestion des infrastructures informatiques. Des ordinateurs du ministère américain de la Défense avaient alors étaient infiltrés. Il est également soupçonné d’avoir visé le parti démocrate avant les élections américaines de 2016, afin d’obtenir des informations favorisant l’élection de Donald Trump.

Cette communication de la CISA intervient une semaine après un rapport publié par le Cyber Safety Review Board, autorité indépendante du département de la Sécurité intérieure des États-Unis. L’autorité épinglait alors les pratiques de cybersécurité de Microsoft, expliquant que la campagne de cyberespionnage menée par la Chine l’été dernier était “évitable” et “n’aurait jamais dû avoir lieu”.

Sélectionné pour vous

La cybersécurité des PME reste à deux vitesses

Plus de 20% des TPE-PME ont désormais recours à des outils d'IA générative

Le groupe de luxe Kering victime d'une cyberattaque revendiquée par ShinyHunters