Certains articles de veille peuvent faire l'objet de traduction automatique.
Les pirates de l’État-nation qui ont orchestré l’attaque de la chaîne d’approvisionnement de SolarWinds ont compromis l’ordinateur d’un employé de Microsoft et ont utilisé l’accès pour lancer des attaques ciblées contre des clients de l’entreprise, a déclaré Microsoft dans un communiqué publié tard un vendredi après-midi.
Le groupe de pirates a également compromis trois entités en utilisant des techniques de pulvérisation de mots de passe et de force brute, qui permettent d’obtenir un accès non autorisé à des comptes en bombardant les serveurs de connexion d’un grand nombre de tentatives de connexion. À l’exception des trois entités dont le nom n’a pas été divulgué, la campagne de pulvérisation de mots de passe a été « essentiellement infructueuse », selon Microsoft. Microsoft a depuis informé toutes les cibles, que les attaques aient réussi ou non.
Les découvertes ont été faites dans le cadre de l’enquête continue de Microsoft sur Nobelium, nom donné par Microsoft au groupe de pirates sophistiqués qui a utilisé les mises à jour du logiciel SolarWinds et d’autres moyens pour compromettre les réseaux de neuf agences américaines et de 100 entreprises privées. Le gouvernement fédéral a déclaré que Nobelium fait partie du Service fédéral de sécurité du gouvernement russe.
« Dans le cadre de notre enquête sur cette activité en cours, nous avons également détecté un logiciel malveillant voleur d’informations sur une machine appartenant à l’un de nos agents de support client, avec un accès aux informations de base sur les comptes d’un petit nombre de nos clients », a déclaré Microsoft dans un post. « L’acteur a utilisé ces informations dans certains cas pour lancer des attaques très ciblées dans le cadre de sa campagne plus large. »
Selon ReutersMicrosoft a publié la divulgation de la violation après que l’un des journalistes du média a interrogé l’entreprise sur la notification qu’elle a envoyée aux clients ciblés ou piratés. Microsoft n’a révélé l’infection de l’ordinateur du travailleur qu’au quatrième paragraphe de son article de cinq paragraphes.
Selon Reuters, l’agent infecté pouvait accéder, entre autres, aux coordonnées de facturation et aux services pour lesquels les clients avaient payé. « Microsoft a averti les clients concernés de faire attention aux communications avec leurs contacts de facturation et d’envisager de changer ces noms d’utilisateur et ces adresses électroniques, ainsi que d’empêcher les anciens noms d’utilisateur de se connecter », a rapporté l’agence de presse.
L’attaque de la chaîne d’approvisionnement contre SolarWinds a été révélée en décembre. Après avoir piraté la société basée à Austin, au Texas, et pris le contrôle de son système de création de logiciels, Nobelium a poussé des mises à jour malveillantes à environ 18 000 clients de SolarWinds.
« La dernière cyberattaque signalée par Microsoft n’implique en aucun cas notre entreprise ou nos clients », a déclaré un représentant de SolarWinds dans un courriel.
L’attaque de la chaîne d’approvisionnement de SolarWinds n’est pas la seule façon dont Nobelium a compromis ses cibles. Le fournisseur d’anti logiciels malveillants Malwarebytes a déclaré qu’il a également été infecté par Nobelium mais par un vecteur différent, que la société n’a pas identifié.
Microsoft et le fournisseur de services de gestion de courrier électronique Mimecast ont également déclaré avoir été piratés par Nobelium, qui a ensuite utilisé les compromissions pour pirater les clients ou les partenaires de ces entreprises.
Microsoft a déclaré que l’activité de pulvérisation de mots de passe visait des clients spécifiques, 57 % d’entre eux étant des entreprises informatiques, 20 % des organisations gouvernementales et le reste des organisations non gouvernementales, des groupes de réflexion et des services financiers. Environ 45 % de l’activité visait des intérêts américains, 10 % des clients britanniques et un plus petit nombre de clients allemands et canadiens. Au total, des clients de 36 pays ont été visés.
Reuters, citant un porte-parole de Microsoft, a déclaré que la brèche divulguée vendredi ne faisait pas partie de la précédente attaque réussie de Nobelium contre Microsoft. La société n’a pas encore fourni de détails clés, notamment la durée pendant laquelle l’ordinateur de l’agent a été compromis et si la compromission a touché une machine gérée par Microsoft sur un réseau Microsoft ou un appareil d’entrepreneur sur un réseau domestique.
La divulgation de vendredi a été un choc pour de nombreux analystes de sécurité.
« Je veux dire, Jésus, si Microsoft ne peut pas garder son propre kit exempt de virus, comment le reste du monde de l’entreprise est censé le faire ? » Kenn White, un chercheur indépendant en sécurité, m’a dit. « On aurait pu penser que les systèmes en contact avec les clients seraient parmi les plus endurcis qui soient. »
Cet article a été initialement publié sur Ars Technica.
Poster un commentaire