L’attaque a entraîné le vol d’emails et de pièces jointes de hauts responsables de Microsoft, notamment dans les départements de cybersécurité et juridique.
Microsoft a identifié la brèche le 12 janvier 2024, qui aurait commencé fin novembre 2023.
Les attaquants ont utilisé une attaque par pulvérisation de mots de passe pour accéder aux comptes.
Microsoft a affirmé que l’attaque n’a pas affecté ses systèmes de production, son code source ou ses systèmes d’IA, et qu’elle était en train de notifier les employés affectés.
Midnight Blizzard est connu pour d’autres cyberattaques majeures, y compris celle contre SolarWinds.
1. Le Groupe d’Attaquants:
Le groupe responsable de l’attaque est identifié comme Midnight Blizzard, également connu sous les noms APT29, BlueBravo, Cloaked Ursa, Cozy Bear, et The Dukes.
Ce groupe est associé à la Russie et est connu pour ses cyberattaques complexes et ses opérations de cyberespionnage.
2. Nature de l’Attaque:
L’attaque a été menée via une technique connue sous le nom de « password spraying », qui consiste à utiliser des mots de passe communs pour tenter de se connecter à de nombreux comptes jusqu’à ce qu’un fonctionne.
Les attaquants ont compromis un compte de test non productif chez Microsoft pour obtenir un accès initial.
3. Cibles et Données Compromises:
Les cibles principales de l’attaque étaient les comptes de messagerie d’employés de haut niveau chez Microsoft, y compris ceux travaillant dans les départements de cybersécurité et juridique.
Les attaquants ont réussi à exfiltrer certains e-mails et documents joints.
4. Réponse de Microsoft:
Après avoir détecté l’attaque le 12 janvier 2024, Microsoft a immédiatement pris des mesures pour enquêter, interrompre et atténuer l’activité malveillante.
Ils ont également souligné qu’il n’y avait aucune preuve que l’adversaire ait accédé à des environnements clients, des systèmes de production, du code source ou des systèmes d’IA.
5. Implications de Sécurité:
Bien que l’impact exact de l’attaque ne soit pas complètement divulgué, Microsoft est en train de notifier les employés affectés.
Cet incident souligne l’importance de la sécurité des informations et la menace persistante des acteurs étatiques dans le cyberespace.
6. Historique des Attaques de Midnight Blizzard:
Ce groupe a été précédemment responsable de compromissions majeures, y compris l’attaque de la chaîne d’approvisionnement de SolarWinds et des attaques ciblées contre des clients de Microsoft en utilisant des techniques similaires
Cet incident met en évidence le paysage de menace en constante évolution dans le cyberespace et la nécessité pour les grandes entreprises technologiques de rester vigilantes et proactives dans la défense contre les cyberattaques sophistiquées
Article source sur TheHackerNews : https://lnkd.in/eD4sqC72