Posté le août 3, 2023 à 8:06
DES HACKERS RUSSES PARRAINÉS PAR L’ÉTAT SE SONT FAIT PASSER POUR DES ÉQUIPES DE MICROSOFT POUR PIRATER DES ORGANISATIONS
Des groupes de hackers parrainés par l’État et basés en Russie se sont fait passer pour des employés du support technique travaillant sous le nom de Microsoft Teams. Les hackers se sont fait passer pour Microsoft Teams pour lancer des campagnes de piratage contre diverses entreprises mondiales et agences gouvernementales.
Des hackers Russes ont usurpé l’identité de Microsoft Teams
Les chercheurs en sécurité de Microsoft ont publié un billet de blog indiquant que la campagne de piratage a été menée par un groupe de hackers parrainé par l’État Russe que Microsoft suit sous le nom de Midnight Blizzard. Ce groupe de hackers est également connu sous le nom d’APT29 ou de Cozy Bear.
Ce groupe de hackers est lié au piratage de SolarWinds en 2020 qui a provoqué d’importants dégâts en utilisant des logiciels malveillants pour mener une campagne d’espionnage. Ce groupe de hackers fait partie du service de renseignement extérieur Russe (SVR). Son association avec le SVR a été liée à des organismes chargés de l’application de la loi basés au Royaume-Uni et aux États-Unis.
Ces attaques de piratage ont commencé vers la fin du mois de mai. La campagne a vu ce groupe de hackers utiliser des comptes Microsoft 365 qui ont été compromis. Ces comptes ont été utilisés pour créer de nouveaux domaines techniques sur le thème de l’assistance.
Les hackers à l’origine de la campagne de piratage ont utilisé les domaines pour envoyer des messages à Microsoft Teams. Ces messages visaient à manipuler les utilisateurs pour obtenir leur approbation et faciliter les invites d’authentification multifactorielle. L’objectif derrière les activités des hackers était d’obtenir des comptes d’utilisateurs et d’exfiltrer des informations sensibles des utilisateurs.
« Si l’utilisateur cible accepte la demande de message, il reçoit alors un message Microsoft Teams de l’attaquant qui tente de le convaincre d’entrer un code dans l’application Microsoft Authenticator de son appareil mobile », a déclaré Microsoft.
Microsoft a déjà ouvert une enquête sur cette campagne de piratage. L’analyse a permis de déduire que moins de 40 organisations mondiales uniques ont été ciblées et que les auteurs de la menace ont violé leurs comptes. Les parties ciblées comprennent des entités non gouvernementales et des agences gouvernementales.
Les autres organisations visées par cette campagne de piratage sont les organisations informatiques, la technologie, les secteurs des médias et la fabrication discrète. Les organisations compromises au cours de cette campagne de piratage n’ont pas été nommées. Cependant, Microsoft a déclaré que la campagne de piratage semble être une attaque d’espionnage.
Le géant de la technologie a en outre atténué les actions de l’acteur de la menace et lui a interdit d’utiliser les domaines. L’entreprise a aussi déclaré qu’elle continuait d’enquêter sur cette activité de piratage et qu’elle s’efforçait de remédier aux effets de la campagne de piratage. Microsoft a par ailleurs indiqué qu’elle avait notifié les clients ciblés ou compromis dans l’attaque de piratage, ajoutant qu’ils disposaient d’informations cruciales pour améliorer leur sécurité.
Le géant de la technologie a également déclaré avoir lancé une enquête sur les attaques précurseurs lancées par les hackers pour compromettre les locataires légitimes d’Azure et déployer des domaines homoglyphes. Ces domaines utilisent généralement des caractéristiques similaires dans la police de caractères pour se faire passer pour des domaines légitimes dans ces attaques de piratage d’ingénierie sociale.
Des hackers Chinois ciblent Microsoft pour compromettre des employés du gouvernement Américain
L’exploit de piratage ciblant Microsoft Teams a été signalé peu après que le géant de la technologie a confirmé une autre violation causée par des hackers parrainés par la Chine. Ces hackers ont exploité une faille de sécurité au sein du service de messagerie Microsoft Cloud pour obtenir l’accès aux comptes de messagerie appartenant à des employés du gouvernement Américain.
Microsoft a identifié le groupe de hackers à l’origine de cette campagne sous le nom de Storm-0558. Le géant de la technologie a affirmé que les hackers ont accédé à environ 25 comptes de messagerie, y compris ceux appartenant à des agences gouvernementales. L’exploit visait également les comptes de consommateurs travaillant pour ces agences gouvernementales.
Microsoft a utilisé le mot « Storm » pour désigner des groupes de hackers encore nouveaux ou dont l’activité est encore à l’étude. Le géant de la technologie a déclaré que le groupe Storm-0558 était à l’origine de l’exploit de piratage.
L’une des agences gouvernementales visées par ce groupe de hackers était le département d’État. Selon CNN, le département d’État a alerté Microsoft au sujet de cette campagne de piratage qui a touché certains employés avant la publication du correctif.
Microsoft a enquêté sur cette campagne de piratage et a noté que des hackers basés en Chine étaient à l’origine de cet exploit. La firme a déclaré que les actions du groupe de hackers ont démontré qu’un acteur disposant de ressources suffisantes a réalisé l’exploit pour obtenir l’accès aux comptes de messagerie via Outlook Web Access dans Exchange Online.
Microsoft a déclaré que les hackers à l’origine de la campagne de piratage ont exploité un problème de validation de jeton pour usurper l’identité d’utilisateurs sur Azure AD et obtenir l’accès à des comptes de messagerie d’entreprise. Le piratage a également suscité des critiques sur la manière dont Microsoft a géré le problème, car certaines entreprises n’ont pas pu accéder aux journaux pour déterminer comment la violation s’était produite.