Des hackers russes se sont infiltrés chez Microsoft pendant un mois !

Outre le conflit en Ukraine, la Russie mène aussi des offensives silencieuses sur les réseaux. Les groupes de pirates affiliésaffiliés au Kremlin sont toujours aussi actifs, comme peut en témoigner la mésaventure de Microsoft dernièrement. Le géant de l’informatique, pourtant expert en cybersécurité, a été infiltré durant plus d’un mois par un groupe de hackers identifié selon les sociétés de sécurité sous les appellations Apt29, Midnight BlizzardBlizzard, Nobelium ou encore Cozy Bear. Un groupe connu pour ses cyberattaques ayant pour objectif l’espionnage et le vol de données des grandes organisations occidentales.

Le groupe avait été impliqué dans le piratage du parti démocrate aux États-Unis, ce qui a engendré les accusations d’Ingérence de l’État russe dans l’élection présidentielle américaine de 2016. Ce sont ces mêmes hackers qui avaient déjà piraté Solarwinds, l’un des leaders de la cybersécurité en 2020. Lors de cette campagne, ils s’en étaient déjà pris à MicrosoftMicrosoft. L’attaque a concerné les serveurs de messageriemessagerie des employés de l’entreprise. Selon le communiqué de Microsoft, les pirates sont parvenus à accéder à un très faible pourcentage de boîtes e-mails. Les équipes de sécurité de Microsoft ont bloqué l’accès à cette intrusion le 13 janvier.

Pulvérisation de mots de passe

La méthode employée pour prendre possession des messageries a été celle de la pulvérisation de mots de passe. Il s’agit d’une attaque par force brute au cours de laquelle le pirate cherche à utiliser le même mot de passe sur de très nombreux comptes avant d’en essayer un autre. Ce type d’attaque est assez efficace, car plutôt que de bloquer le système au bout de quelques mots de passe erronés, le test d’un seul mot de passe sur des centaines de comptes a des chances de fonctionner. C’est d’ailleurs via un ancien compte de test dont le mot de passe était faible et non protégé par une identification à plusieurs facteurs que les cyberattaquants ont pu s’introduire dans la messagerie.

Ce type d’attaque automatisée se déroule lentement pour ne pas être détecté. Une fois dans le compte test, les hackers russes ont exploité ses niveaux d’autorisation pour accéder à d’autres comptes de l’entreprise. Des membres de l’équipe de direction de l’entreprise, des employés des services de cybersécurité, ou des services juridiques ont été touchés. D’après Microsoft, les hackers étaient surtout intéressés par les informations que Microsoft pouvait avoir sur leurs propres activités. Suite à cet événement, la société a lancé un audit de sécurité pour la renforcer. Microsoft va déployer des solutions de cyberdéfense basées sur l’IAIA pour contrer ce genre d’attaque.