La semaine dernière, Microsoft révélait avoir été victime d’une attaque informatique. Orchestrée par Midnight Blizzard, un groupe de hackers russes financés par le Kremlin, l’attaque a abouti au piratage de la boîte mail de plusieurs dirigeants de Microsoft. Les pirates ont pu pénétrer dans les messageries en compromettant un compte de test sécurisé par un mot de passe faible. Après enquête, il s’avère que Midnight Blizzard a uniquement volé une poignée de mails, dont certains évoquaient les activités du gang russe.
À lire aussi : Microsoft désactive un outil Windows massivement détourné par les pirates
Le déroulement de l’attaque de Midnight Blizzard contre Microsoft
Quelques jours plus tard, Microsoft est revenue sur les circonstances de la cyberattaque. Le géant américain indique que le gang s’est d’abord servi d’une simple attaque par force brute. Cette méthode consiste à essayer toutes les combinaisons possibles jusqu’à trouver le bon mot de passe. Microsoft parle également d’une attaque par pulvérisation de mot de passe, qui implique de tester les codes les plus répandus dans le monde pour entrer dans un système. Comme l’explique Microsoft, « dans une attaque par pulvérisation de mot de passe, l’adversaire tente de se connecter à un grand volume de comptes en utilisant un petit sous-ensemble des mots de passe les plus populaires ou les plus probables ».
Les hackers ont visé une poignée de comptes Exchange Online, la messagerie sur le cloud de Microsoft. L’un des comptes, sécurisé par un mauvais mot de passe, est tombé entre les mains des pirates. Dans ce scénario, le gang s’est focalisé sur seulement quelques comptes. L’attaque n’était composée que d’un « faible nombre de tentatives » de piratage afin « d’échapper à la détection et éviter les blocages de compte ». Dans la même optique, Midnight Blizzard s’est servi d’un réseau de serveurs proxy situés dans différents endroits pour lancer les attaques par force brute. Les pirates ont acheminé « leur trafic à travers un grand nombre d’adresses IP qui sont également utilisées par des utilisateurs légitimes », précise Microsoft, regrettant que la manœuvre rende « la détection traditionnelle » tout simplement inopérante. Cette précaution a donc permis de cacher l’existence d’une attaque coordonnée.
C’est là que la deuxième partie de l’attaque a commencé. Les hackers ont exploité les autorisations OAuth (Open Authorization), un protocole ouvert qui permet à des applications tierces d’accéder aux ressources protégées d’un utilisateur sans avoir besoin de partager ses identifiants de connexion, accordées au compte de test. Selon Microsoft, « Midnight Blizzard a tiré parti de son accès initial pour identifier et compromettre une application de test OAuth héritée qui avait un accès élevé à l’environnement d’entreprise Microsoft ». Ils ont ensuite « créé d’autres applications OAuth malveillantes » et un compte utilisateur sur l’infrastructure de Microsoft, qui ont donné ses accords aux applications. Avec le compte de test compromis, ils ont donné accès aux applications à Exchange Online. C’est de cette manière que les pirates ont volé des messages échangés par les dirigeants de Microsoft.
La présence de Midnight Blizzard se confirme
En fouillant dans les journaux d’Exchange Web Services (EWS), l’API qui permet aux développeurs d’accéder et de manipuler les données stockées dans un serveur Exchange, Microsoft a découvert plusieurs des tactiques et des procédures typiques de Midnight Blizzard. Il ne fait aucun doute pour les experts de Microsoft que l’attaque a été fomentée par les cybercriminels russes, qui sont déjà responsables du célèbre hack de SolarWinds en 2020.
Dans la foulée, Microsoft révèle que Midnight Blizzard s’est récemment attaqué à d’autres entreprises pour exfiltrer des données par le biais de ses services de messagerie. L’enquête de la firme montre en effet que « le même acteur a ciblé d’autres organisations et, dans le cadre de nos processus de notification habituels, nous avons commencé à informer ces organisations ciblées », explique Microsoft. L’éditeur a également fourni une liste de recommandations aux sociétés désireuses de se protéger contre le gang russe.
Il paraît fort probable que HP fasse partie de la liste. La compagnie américaine a en effet déclaré aux autorités que des pirates ont pénétré dans sa messagerie Microsoft Office 365 pour y voler des fichiers. HP avait déjà attribué l’attaque à Midnight Blizzard.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Microsoft
