Microsoft a révélé vendredi que l’acteur malveillant soutenu par le Kremlin, connu sous le nom de Blizzard de minuit (alias APT29 ou Cozy Bear) a réussi à accéder à certains de ses référentiels de code source et à ses systèmes internes suite à un piratage révélé en janvier 2024.
“Ces dernières semaines, nous avons constaté que Midnight Blizzard utilise des informations initialement exfiltrées de nos systèmes de messagerie d’entreprise pour obtenir, ou tenter d’obtenir, un accès non autorisé”, a déclaré le géant de la technologie.
“Cela inclut l’accès à certains référentiels de code source et à certains systèmes internes de l’entreprise. À ce jour, nous n’avons trouvé aucune preuve que les systèmes hébergés par Microsoft destinés aux clients aient été compromis.”
Redmond, qui continue d’enquêter sur l’étendue de la violation, a déclaré que l’acteur malveillant parrainé par l’État russe tentait d’exploiter les différents types de secrets qu’il a trouvés, y compris ceux qui ont été partagés par courrier électronique entre les clients et Microsoft.
Cependant, l’entreprise n’a pas révélé quels étaient ces secrets ni l’ampleur de la compromission, bien qu’elle ait déclaré avoir directement contacté les clients concernés. On ne sait pas quel code source a été consulté.
Déclarant avoir augmenté ses investissements en matière de sécurité, Microsoft a en outre noté que l’adversaire avait multiplié par 10 ses attaques par pulvérisation de mots de passe en février, par rapport au « volume déjà important » observé en janvier.
“L’attaque en cours de Midnight Blizzard se caractérise par un engagement soutenu et significatif des ressources, de la coordination et de la concentration de l’acteur menaçant”, a-t-il déclaré.
“Il se peut qu’il utilise les informations qu’il a obtenues pour accumuler une image des zones à attaquer et améliorer sa capacité à le faire. Cela reflète ce qui est devenu plus largement un paysage de menaces mondiales sans précédent, notamment en termes d’attaques sophistiquées contre des États-nations.”
La violation de Microsoft aurait eu lieu en novembre 2023, Midnight Blizzard ayant recours à une attaque par pulvérisation de mot de passe pour infiltrer avec succès un ancien compte de locataire de test hors production sur lequel l’authentification multifacteur (MFA) n’était pas activée.
Le géant de la technologie a révélé fin janvier qu’APT29 avait ciblé d’autres organisations en profitant d’un ensemble diversifié de méthodes d’accès initial allant du vol d’informations d’identification aux attaques de la chaîne d’approvisionnement.
Midnight Blizzard est considéré comme faisant partie du Service de renseignement extérieur russe (SVR). Actif depuis au moins 2008, l’acteur malveillant est l’un des groupes de piratage informatique les plus prolifiques et les plus sophistiqués, compromettant des cibles de premier plan telles que SolarWinds.