Microsoft a révélé vendredi qu’elle était la cible d’une attaque d’un État-nation contre ses systèmes d’entreprise qui a entraîné le vol d’e-mails et de pièces jointes de cadres supérieurs et d’autres personnes des services de cybersécurité et juridiques de l’entreprise.
Le fabricant de Windows a attribué l’attaque à un groupe russe de menaces persistantes avancées (APT) qu’il suit sous le nom de Midnight Blizzard (anciennement Nobelium), également connu sous les noms d’APT29, BlueBravo, Cloaked Ursa, Cozy Bear et The Dukes.
L’entreprise a en outre déclaré avoir immédiatement pris des mesures pour enquêter, perturber et atténuer l’activité malveillante dès sa découverte le 12 janvier 2024. On estime que la campagne a commencé fin novembre 2023.
« L’auteur de la menace a utilisé un attaque par pulvérisation de mot de passe pour compromettre un ancien compte de locataire de test hors production et prendre pied, puis a utilisé les autorisations du compte pour accéder à un très petit pourcentage de comptes de messagerie d’entreprise Microsoft, y compris des membres de notre équipe de direction et des employés de nos services de cybersécurité, juridiques et autres. fonctions et exfiltré certains e-mails et documents joints », Microsoft dit.
Redmond a déclaré que la nature du ciblage indique que les acteurs de la menace cherchaient à accéder à des informations les concernant. Il a également souligné que l’attaque n’était le résultat d’aucune faille de sécurité dans ses produits et que rien ne prouve que l’adversaire ait accédé aux environnements clients, aux systèmes de production, au code source ou aux systèmes d’IA.
Le géant de l’informatique n’a toutefois pas révélé combien de comptes de messagerie avaient été infiltrés ni quelles informations avaient été consultées, mais a déclaré que c’était le processus d’information des employés qui avait été touché à la suite de l’incident.
L’entreprise de piratage informatique, qui était auparavant responsable de la compromission très médiatisée de la chaîne d’approvisionnement de SolarWinds, a pointé du doigt Microsoft à deux reprises, une fois en décembre 2020 pour siphonner le code source lié aux composants Azure, Intune et Exchange, et une deuxième fois en violant trois de ses composants. clients en juin 2021 via la pulvérisation de mots de passe et des attaques par force brute.
« Cette attaque met en évidence le risque continu que représentent pour toutes les organisations les acteurs de menace étatiques dotés de ressources suffisantes comme Midnight Blizzard », a déclaré le Microsoft Security Response Center (MSRC).