Les piratages de Microsoft et HPE par la Russie ne sont que la pointe de l'iceberg

Deux d’entre eux ont déclaré que plus de dix entreprises devraient postuler, et peut-être même beaucoup plus. Les experts ont demandé que leurs noms ne soient pas mentionnés afin de maintenir les relations avec les victimes.

La Securities and Exchange Commission a renforcé l'année dernière les règles obligeant les entreprises à informer leurs actionnaires des piratages informatiques. Ce qui pourrait avoir un impact significatif sur les résultats de l'entreprise. Cela a contribué à stimuler les récentes révélations.

Microsoft, HPE et des experts ont déclaré que le service de renseignement extérieur russe, SVR, était présent dans les entreprises ciblées depuis des mois. Il n'est pas clair si les Russes ont utilisé à plusieurs reprises la même méthode pour accéder aux systèmes des entreprises.

L'équipe SVR, que Microsoft appelle Midnight Blizzard, est considérée comme l'une des forces de piratage les plus efficaces au monde. Microsoft a déclaré que l'agence russe avait pris pied au sein de son réseau en essayant encore et encore le même mot de passe sur des comptes de test jusqu'à ce qu'elle trouve une correspondance.

Bien qu’il s’agisse d’une attaque rudimentaire, la société a déclaré qu’elle était devenue difficile à détecter car les tentatives de connexion provenaient de plusieurs endroits différents. Une fois à l’intérieur, les pirates ont créé de nouveaux comptes et de nouvelles applications dotés de pouvoirs internes plus importants.

Également connu sous le nom de Cozy Bear, le groupe a fait l'actualité internationale pour la dernière fois avec son entrée dans la série. Fournisseur SolarWinds. Il a modifié le code de cette entreprise, se donnant ainsi une ouverture lorsque les agences fédérales clientes de SolarWinds l'ont installé.

« Ce qui distingue ce groupe est sa remarquable combinaison de discrétion, de patience et de persévérance inébranlable, ce qui le distingue des autres acteurs de la cybermenace qui financent et agissent également au nom des États-nations », a déclaré Eric Ward, ancien analyste des menaces à la Maison Blanche. « Leur profil bas démontre une approche subtile et subtile, montrant clairement que leurs actions se poursuivent même si elles restent à l'abri du contrôle public », a-t-il ajouté.

Les violations de Microsoft et HPE sont particulièrement préoccupantes car de nombreuses entreprises et autres agences les utilisent pour leurs services cloud, y compris la messagerie électronique. On ne sait pas encore si les pirates informatiques sont capables d'utiliser leur accès aux systèmes Microsoft pour lancer des attaques contre d'autres entreprises.

Eric Goldstein, responsable de la cybersécurité à l'Agence de cybersécurité et de sécurité des infrastructures du Département de la sécurité intérieure, a déclaré que l'agence s'efforçait d'en savoir plus sur l'attaque et son impact potentiel.

« Comme indiqué dans l'annonce de Microsoft, pour le moment, nous ne sommes pas conscients des impacts sur les environnements ou les produits des clients Microsoft », a déclaré Goldstein.

Alex Stamos, responsable de la sécurité chez son rival SentinelOne, a déclaré que le dernier article du blog Microsoft suggère que la société a utilisé une technologie de détection qui ne fonctionne que sur les services cloud hébergés par Microsoft. Cela suggère que plusieurs cibles ont été touchées par une méthode d'attaque qui a fonctionné contre le système d'autorisation d'accès de Microsoft, désormais appelé Entra et anciennement connu sous le nom d'Azure Active Directory, a écrit Stamos sur LinkedIn.

Microsoft a déclaré que SVR avait consulté les e-mails de ses experts en cybersécurité pour voir ce qu'ils savaient de l'organisation russe, ce qui pourrait refléter l'efficacité de l'entreprise à aider l'Ukraine à dissuader les cyberattaques depuis l'invasion il y a deux ans.

« Leur objectif est de pirater les systèmes qui comptent pour eux, mais étant donné le rôle de Microsoft dans le monde et l'ampleur de son aide à l'Ukraine, ils deviendront une cible », a déclaré George Barnes, qui a récemment pris sa retraite de son poste de vice-président de Microsoft. Service de sécurité nationale.

Les courriels des dirigeants de Microsoft sont également susceptibles de contenir des conversations avec des représentants du gouvernement qui pourraient être utiles aux agences de renseignement étrangères.