Cybersécurité : Microsoft dénonce une attaque pilotée par l’Etat russe

La Rédaction,
Linkedin
OAuth Exchange Server

Agissant sous le nom de « Midnight Blizzard », le groupe de hackers russe a lancé une attaque par pulvérisation de mot de passe contre les comptes de cadres de Microsoft.

Microsoft a subi une cyberattaque contre les comptes de messagerie de plusieurs de ses cadres selon un billet de blog posté le 19 janvier.

Elle aurait été mené par le groupe de hackers russe « Midnight Blizzard », aux ordres de l’Etat russe, déjà connu sous le nom de « Nobelium  » mais également APT29 ou Cozy Bear.

Ce groupe aurait commencé à cibler Microsoft en 2018.

« À partir de fin novembre 2023, l’auteur de la menace a utilisé une attaque par pulvérisation de mot de passe pour compromettre un ancien compte de  test (…) puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie, y compris des membres de notre équipe de direction (…) »  détaille Microsoft qui fixe la date de l’attaque au 12 janvier.

Midnight Blizzard : des cyberattaques récurrentes depuis 2018

L’éditeur de Windows prend la peine de signaler que l’attaque n’a pas exploitée une faille de l’un de ses produits ou services. Aucune preuve d’accès à des comptes de ses clients n’a été apportée.

Qu’est une attaque par pulvérisation de mot de passe ?  « Cela consiste  à utiliser un même mot de passe courant pour tenter d’accéder à plusieurs comptes d’une application donnée. Cela lui évite que les comptes ne se bloquent en prévention d’une attaque par force brute, généralement caractérisée par l’essai de différents mots de passe pour accéder à un même compte. La pulvérisation de mots de passe est particulièrement efficace contre les entreprises adeptes du partage de mots de passe. » explique l’éditeur Crownstrike.

En août dernier, Microsoft avait signalé les agissement du groupe de hackers ciblant son service de messagerie Teams par des attaques de phishing.

Le signalement de cette nouvelle cyberattaque répond aux nouvelles règles du  régulateur financier américain (SEC) qui oblige,  depuis juillet 2023, les entreprises cotées en bourse à divulguer les incidents de cybersécurité. Celles-ci doivent déposer un rapport sur l’impact d’un piratage dans les quatre jours ouvrables suivant sa découverte, en divulguant au gouvernement l’heure, la portée et la nature de la violation.