Microsoft confirme que des pirates russes ont volé le code source et certains secrets clients

09 mars 2024rédactionIntelligence sur les cyberattaques/menaces

Microsoft a révélé vendredi que l'acteur menaçant soutenu par le Kremlin, connu sous le nom de… Tempête de neige à minuit (également connu sous le nom d'APT29 ou Cozy Bear) a eu accès à certains de ses référentiels de code source et à ses systèmes internes après un piratage révélé en janvier 2024.

« Ces dernières semaines, nous avons constaté que Midnight Blizzard utilisait des informations initialement divulguées par les systèmes de messagerie de notre entreprise pour obtenir ou tenter d'obtenir un accès non autorisé », a déclaré le géant de la technologie. Il a dit.

« Cela incluait l'accès à certains référentiels de code source et aux systèmes internes de l'entreprise. À ce jour, nous n'avons trouvé aucune preuve que les systèmes hébergés par Microsoft destinés aux clients aient été compromis. »

Redmond, qui continue d'enquêter sur l'ampleur du piratage, a déclaré que l'acteur malveillant parrainé par l'État russe tentait de tirer parti de différents types de secrets découverts, y compris ceux partagés par courrier électronique entre les clients et Microsoft.

Cependant, l'entreprise n'a pas révélé quels étaient ces secrets ni l'ampleur du règlement, bien qu'elle ait déclaré avoir contacté directement les clients concernés. On ne sait pas exactement quel code source a été consulté.

déclarant qu'elle a Il a augmenté ses investissements en matière de sécuritéMicrosoft a également noté que l'adversaire avait multiplié par 10 les attaques par pulvérisation de mots de passe en février, par rapport au « volume déjà important » observé en janvier.

« L'attaque soutenue de Midnight Blizzard se caractérise par un engagement significatif et soutenu des ressources, de la coordination et de la concentration de l'acteur menaçant », indique le communiqué.

« Il peut utiliser les informations qu'il a acquises pour dresser un tableau des zones à attaquer et améliorer sa capacité à le faire. Cela reflète ce qui est devenu plus largement un paysage de menaces mondiales sans précédent, en particulier en ce qui concerne les attaques sophistiquées des États-nations. « 

La violation de Microsoft se serait produite en novembre 2023, lorsque Midnight Blizzard a utilisé une attaque par pulvérisation de mot de passe pour infiltrer avec succès un ancien compte de locataire hors production sur lequel l'authentification multifacteur (MFA) n'était pas activée.

Fin janvier, le géant de la technologie a révélé qu'APT29 avait ciblé d'autres organisations en exploitant diverses méthodes d'accès initial allant du vol d'identifiants aux attaques de la chaîne d'approvisionnement.

Midnight Blizzard fait partie du Service de renseignement extérieur russe (SVR). Actif depuis au moins 2008, l’acteur malveillant est l’un des groupes de piratage informatique les plus prolifiques et les plus sophistiqués, menaçant des cibles de premier plan comme SolarWinds.