Des cyberpirates russes espionnent les dirigeants de Microsoft

Microsoft a été victime d'une cyber-attaque. L'entreprise a indiqué sur son blog avoir découvert l'attaque le 12 janvier 2024, mais il semblerait qu'elle ait commencé fin novembre 2023.

A l'époque, explique Microsoft, les cybercriminels ont piraté le compte d'un ancien environnement de test qui n'était plus utilisé, au moyen d'une tactique connue sous le nom de «password spraying»: les pirates ont essayé plusieurs mots de passe possibles jusqu'à ce qu'ils réussissent à pénétrer l’environnement ciblé. Aucune vulnérabilité n’aurait été exploitée. 
Un «très faible pourcentage» d'employés est concerné, rassure l'entreprise, qui reconnaît que parmi les personnes attaquées se trouvent des membres de l’équipe de direction et des collaborateurs dans les domaines de la cybersécurité, du juridique et d'autres fonctions.

Pour Microsoft, l'auteur de l'attaque est le groupe de pirates Midnight Blizzard, également connu sous des noms tels que APT29, UAC-0029, Nobelium, Cozy Bear ou Cloaked Ursa. Le service de renseignement extérieur russe SVR  serait à l'origine du groupe. Rien n'indique que les pirates aient pu accéder aux environnements des clients, aux systèmes de production, au code source ou aux systèmes d'intelligence artificielle.

Microsoft souligne avoir tiré les leçons de cette attaque: l'entreprise appliquera ses procédures de sécurité à ses anciens systèmes et processus internes plus rapidement que prévu initialement. En outre, l'entreprise continuera d'enquêter sur l'incident et informera le public des enseignements tirés.

On se souvient qu’au cours de l'été 2023, un gang de pirates chinois avait vraisemblablement pu accéder pendant un mois à divers comptes de messagerie de l'administration fédérale américaine hébergés chez Microsoft. La clé dérobée utilisée pour l'attaque provenait probablement d'un crash dump.