Les cyberattaques « Midnight Blizzard » découvertes : la bataille de Microsoft contre les cybermenaces parrainées par l'État
Microsoft a récemment révélé une violation inquiétante perpétrée par un groupe de piratage informatique parrainé par l'État russe, connu sous le nom de Midnight Blizzard. Les attaquants ont eu recours à des tactiques sophistiquées, notamment la création d'applications OAuth malveillantes, la manipulation de comptes d'utilisateurs et l'utilisation de réseaux proxy résidentiels pour dissimuler leurs activités. Cette violation souligne l’importance de mesures de sécurité robustes pour les organisations.
Table des matières
Les associations Midnight Blizzard et Cozy Bear se dévoilent
Fin novembre 2023, Microsoft a été victime d'une cyberattaque orchestrée par Midnight Blizzard, également connu sous le nom de Cozy Bear. Les pirates ont utilisé des attaques par pulvérisation de mots de passe pour compromettre les comptes de messagerie, ciblant les cadres supérieurs et les employés des équipes de cybersécurité et juridiques. Une analyse plus approfondie a révélé que les attaquants ont exploité une ancienne application de test OAuth avec un accès privilégié à l'environnement informatique de l'entreprise Microsoft. OAuth, une norme d'authentification basée sur des jetons, a été manipulée par des pirates informatiques qui ont créé des applications OAuth malveillantes supplémentaires.
Les tactiques de Midnight Blizzard se sont étendues à la création d'un nouveau compte utilisateur, accordant à leurs applications OAuth malveillantes l'accès aux boîtes aux lettres Office 365 Exchange. Cet accès leur a permis de télécharger des e-mails et des fichiers pour évaluer la connaissance que Microsoft avait de leurs activités. Pour masquer leur origine, les attaquants ont utilisé des réseaux proxy résidentiels, acheminant le trafic via de nombreuses adresses IP utilisées par des utilisateurs légitimes.
Comment contrer les violations de données et les cyberattaques
Pour contrer de telles menaces, Microsoft recommande aux organisations de mener des audits sur les privilèges des utilisateurs et des services, en se concentrant particulièrement sur les identités non identifiées et les applications à privilèges élevés. Ils conseillent d'examiner les identités avec les privilèges ApplicationImpersonation dans Exchange Online, car des erreurs de configuration peuvent permettre un accès non autorisé aux boîtes aux lettres de l'entreprise. Des politiques de détection des anomalies et des contrôles d’applications à accès conditionnel pour les utilisateurs sur des appareils non gérés sont également recommandés.
L'impact des activités de Midnight Blizzard s'étend au-delà de Microsoft, comme en témoigne la divulgation par Hewlett Packard Enterprise (HPE) d'une attaque similaire contre son système de messagerie cloud en mai 2023. Cet incident, lié à une tentative de piratage antérieure, a entraîné un vol de données de Boîtes aux lettres HPE et accès aux fichiers SharePoint.
En réponse à ces violations, les organisations doivent rester vigilantes et mettre en œuvre des mesures de sécurité robustes pour atténuer les risques posés par des groupes de piratage parrainés par l'État comme Midnight Blizzard.
Les cyberattaques « Midnight Blizzard » découvertes : la bataille de Microsoft contre les cybermenaces parrainées par l'État captures d'écran
