Posté le juin 29, 2021 à 17:40
L’ENQUÊTE DE MICROSOFT SUR L’ATTAQUE DE SOLARWINDS RÉVÈLE UNE NOUVELLE VIOLATION
Des mois après le piratage de SolarWinds qui a touché plusieurs grandes entreprises, on n’a pas fini d’entendre parler de cet incident. Dans une récente révélation, Microsoft Inc. a révélé avoir découvert une autre violation liée à l’incident de piratage SolarWinds.
Le géant de la technologie a participé activement à une enquête sur le tristement célèbre incident de piratage. Selon Microsoft+, les acteurs d’État-nation qui ont mené l’attaque de la chaîne d’approvisionnement ont infiltré l’ordinateur d’un employé de Microsoft et ont utilisé ce privilège pour lancer des attaques ciblées contre ses clients.
Les acteurs de la menace ont également infiltré trois entités avec des techniques de force brute et de pulvérisation de mots de passe pour obtenir un accès non autorisé aux comptes. Ils ont utilisé un grand nombre d’accès de connexion pour bombarder les serveurs de connexion.
Bien que la campagne de pulvérisation de mots de passe ait réussi à infiltrer ces trois entités, Microsoft a déclaré que la campagne a largement échoué.
Cependant, le géant de la technologie a depuis informé toutes les cibles de se méfier de toute irrégularité sur leurs systèmes.
Cette découverte se produisait au moment où Microsoft enquêtait sur le dénommé Nobelium, lié au groupe de pirates hautement techniques qui a orchestré le piratage de WolarWinds. L’incident a compromis les réseaux de 9 agences américaines ainsi que de 100 entreprises privées.
Nobelium lié au service de sécurité russe
Selon le gouvernement américain, Nobelium fait partie du Service fédéral de sécurité du gouvernement russe.
« L’acteur a utilisé ces informations dans certains cas pour lancer des attaques très ciblées dans le cadre de leur plus large campagne », ajoute Microsoft.
Le géant de la technologie dit avoir révélé la violation après qu’un journaliste de l’un des organes de presse a demandé à l’entreprise quelle notification était envoyée aux clients piratés ou ciblés.
Le document révélé par Microsoft montre que l’agent infecté a un certain niveau d’accès aux services pour lesquels les clients ont payé, ainsi que l’accès aux informations de facturation.
La société a conseillé à ses clients de se méfier des communications leur demandant leurs contacts de facturation. Elle leur a également demandé d’envisager de modifier leurs adresses électroniques et leurs noms d’utilisateur, ainsi que d’interdire tout ancien nom d’utilisateur pour se connecter à leurs comptes.
De cette façon, tout acteur menaçant en possession des anciens identifiants n’aura pas accès au compte.
57 % des attaques de SolarWinds concernaient des sociétés informatiques
SolarWinds a subi une attaque de la chaîne logistique en décembre de l’année dernière. Elle a infiltré l’entreprise basée au Texas et pris possession de sa structure logicielle. Les acteurs de la menace ont ensuite envoyé des courriers et des mises à jour malveillants à 18 000 clients de SolarWinds.
Toutefois, un porte-parole de SolarWinds a commenté la dernière découverte d’une violation chez Microsoft, déclarant qu’elle n’impliquait pas SolarWinds.
« La dernière cyberattaque signalée par Microsoft n’implique en aucun cas notre société ou nos clients », a déclaré le porte-parole.
Mais l’attaque de SolarWinds n’est pas la seule méthode utilisée par le groupe Nobelium pour infiltrer leurs cibles. La société anti-logiciel malveillant Malwarebytes a également révélé que les hackers ont également infiltré une partie de ses systèmes, bien que ce soit via un fournisseur différent que la société n’a pas mentionné.
Les fournisseurs de services de gestion de courrier électronique Mimecast et Microsoft ont également déclaré avoir été victimes de l’attaque de Nobelium, qui a utilisé les vulnérabilités pour pénétrer chez les partenaires ou les clients de ces sociétés.
Dans l’attaque de Microsoft, le logiciel malveillant pulvérisant les mots de passe a ciblé des clients spécifiques, dont 20 % d’une organisation gouvernementale et 57 % des sociétés informatiques. Le pourcentage restant était partagé entre les services financiers, les groupes de réflexion et les organisations non gouvernementales.
Le rapport révèle également que 45 % des attaques ont visé des organisations américaines et 10 % des clients britanniques. Les acteurs de la menace ont également ciblé des clients du Canada et de l’Allemagne, mais en petit nombre. Au total, le rapport révèle que les acteurs de la menace ont ciblé des clients dans 36 pays.
La sécurité des systèmes dépendants de Microsoft exposée
Un porte-parole de Microsoft a également déclaré que la violation de vendredi ne fait pas partie des attaques précédentes contre Microsoft. Le géant de la technologie n’a pas encore fourni de détails sur l’ampleur de l’attaque ni sur le temps pendant lequel les attaquants ont réussi à rester dans le système ciblé. Certains experts en sécurité se sont dits choqués par la façon dont les hackers ont pu pénétrer chez Microsoft, compte tenu de la richesse embarrassante des ressources de sécurité dont dispose l’entreprise.
Un chercheur en sécurité indépendant, Kenn White, a déclaré qu’il était surprenant que le système de sécurité de Microsoft puisse être compromis par des acteurs malveillants. Il a déclaré que cet incident signifie que les systèmes de sécurité de la plupart des entreprises ne sont pas fiables.
