Getty Images/iStockphoto
Midnight Blizzard a accédé aux systèmes et au code source de Microsoft
L’éditeur indique que l’APT Midnight Blizzard a utilisé des données volées lors d’une intrusion dans son système de messagerie électronique, pour accéder à d’autres parties de son SI, dont des référentiels de code source.
Microsoft a déclaré vendredi que Midnight Blizzard, un acteur lié à l’État russe qui a compromis le géant de la technologie à partir de novembre, a accédé au code source et aux systèmes internes de l’éditeur.
Le 19 janvier, Microsoft indiquait que l’acteur malveillant qu’il suit sous le nom de Midnight Blizzard avait accédé à « un très petit pourcentage de comptes de messagerie d’entreprise Microsoft », par le biais d’une attaque par pulvérisation de mot de passe contre un compte d’un tenant de test non productif. L’attaque a commencé en novembre et a été détectée le 12 janvier. L’acteur malveillant ayant compromis Microsoft, également suivi par les chercheurs sous les noms d’APT29 et de Cozy Bear, était responsable de l’attaque dévastatrice de la chaîne logistique de 2020 contre SolarWinds.
Dans sa première déclaration, du 19 janvier, Microsoft indiquait que les comptes de messagerie compromis comprenaient « des comptes de messagerie d’entreprise de Microsoft, y compris des membres de notre équipe de direction et des employés de nos services de cybersécurité, juridiques et autres », et que certains courriels et documents joints avaient été exfiltrés. Cependant, l’ampleur de l’attaque pourrait être plus importante que ce que l’on pensait initialement.
Dans un billet de blog publié vendredi par le Microsoft Security Response Center, le géant de l’IT explique avoir trouvé, à la suite d’une enquête plus approfondie, des indices suggérant que Midnight Blizzard a récemment eu accès au code source et aux systèmes internes de l’entreprise.
« Ces dernières semaines, nous avons constaté que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d’entreprise pour obtenir, ou tenter d’obtenir, un accès non autorisé », peut-on lire dans le billet. « Il s’agit notamment de l’accès à certains dépôts de code source et systèmes internes de l’entreprise. À ce jour, nous n’avons trouvé aucune indication de compromission de systèmes clients hébergés par Microsoft ».
En outre, Microsoft indique que l’acteur malveillant tente d’utiliser les « secrets » qu’il a trouvés lors de la violation initiale. Microsoft assure que rien n’indique que les systèmes en contact avec les clients aient été compromis, tout en concédant qu’un certain nombre de ces « secrets » ont été échangés dans des courriels entre Microsoft et des clients.
« Il est évident que Midnight Blizzard tente d’utiliser les secrets de différents types qu’il a trouvés. Certains de ces secrets ont été partagés entre des clients et Microsoft dans des courriels, et comme nous les avons découverts dans nos courriels exfiltrés, nous avons contacté et contactons encore ces clients pour les aider à prendre des mesures d’atténuation », a écrit Microsoft.
Un porte-parole de Microsoft a déclaré à TechTarget faire référence aux secrets cryptographiques, tels que les mots de passe, les clés et les certificats numériques. L’éditeur dit poursuivre son enquête et avertit que l’activité de l’acteur malveillant n’est pas terminée. « L’attaque en cours de Midnight Blizzard se caractérise par un engagement soutenu et important des ressources, de la coordination et de la concentration de l’acteur de la menace. Il est possible qu’il utilise les informations qu’il a obtenues pour se faire une idée des zones à attaquer et améliorer sa capacité à le faire ».