Le 12 janvier 2024, Microsoft a détecté une intrusion dans ses systèmes corporate par Midnight Blizzard (APT29/Cozy Bear/Nobelium), groupe de cyberespionnage affilié aux services de renseignement russes (SVR). L’attaque, initiée en novembre 2023, a permis l’accès aux boîtes mail de membres de la direction et des équipes de cybersécurité.
La méthode : password spray sur un compte legacy sans MFA
Les attaquants ont compromis un ancien compte de test non-production (« legacy tenant account ») qui ne bénéficiait pas de l’authentification multi-facteurs. Via une attaque par password spray — technique consistant à tester un petit nombre de mots de passe courants sur un grand nombre de comptes pour éviter les blocages — ils ont obtenu un premier accès fin novembre 2023. À partir de ce compte, ils ont exploité ses permissions OAuth pour accéder aux boîtes mail d’un petit pourcentage de comptes d’entreprise, incluant des membres de l’équipe dirigeante, de l’équipe juridique et de l’équipe de cybersécurité de Microsoft. Des emails et documents joints ont été exfiltrés.
Un objectif de contre-renseignement
Microsoft a révélé que Midnight Blizzard cherchait principalement à savoir ce que Microsoft savait du groupe lui-même — une opération de contre-renseignement particulièrement audacieuse. En mars 2024, Microsoft a signalé que les attaquants utilisaient les informations exfiltrées pour tenter d’accéder à des dépôts de code source et des systèmes internes. Midnight Blizzard est le même groupe à l’origine de l’attaque SolarWinds de 2020, qui avait compromis plus de 18 000 organisations clientes. Hewlett Packard Enterprise avait également signalé une attaque similaire de ce groupe en décembre 2023.
Les enseignements pour toutes les organisations
Cet incident démontre qu’aucune organisation n’est immunisée contre les acteurs étatiques sophistiqués. Il souligne également le danger des comptes legacy et de test non maintenus — des « portes dérobées » oubliées que les attaquants savent repérer et exploiter. Microsoft a depuis renforcé ses politiques via son « Secure Future Initiative ».
Recommandations clés
- Supprimer ou désactiver tous les comptes inactifs, de test ou legacy dans l’ensemble de l’organisation
- Appliquer le MFA sans exception sur l’intégralité des comptes Microsoft 365, Azure AD et Entra ID
- Implémenter des politiques d’accès conditionnel et surveiller les applications OAuth enregistrées
- Détecter et alerter sur les tentatives de password spray via Microsoft Sentinel ou équivalent
- Effectuer des révisions régulières des permissions accordées aux applications et comptes de service
- Mettre en oeuvre une stratégie de détection des menaces persistantes avancées (APT)
Articles Similaires
Cyberattaque contre la DGID du Sénégal
Une attaque attribuée au groupe Black Shrantac a perturbé les services fiscaux sénégalais. Les cybercriminels ont revendiqué le vol d'environ 1 To de données et exigé une rançon de 10 millions d'euros.
Piratage de la DAF du Sénégal
Les systèmes liés à la production des cartes nationales d'identité ont été affectés par une cyberattaque. Les assaillants ont affirmé avoir exfiltré 139 Go de données sensibles...
Fuite de données chez MTN Group
Le géant africain des télécommunications MTN a confirmé un incident de sécurité ayant entraîné l'exposition non autorisée de données personnelles de clients dans plusieurs pays africains....
Ransomware contre Telecom Namibia
L'opérateur national namibien a subi une attaque par rançongiciel ayant provoqué des interruptions de services et la divulgation de données revendiquée par les attaquants...
Cyberattaque contre Change Healthcare
Le groupe ALPHV/BlackCat a paralysé les systèmes de santé américains. L'incident a perturbé les pharmacies et entraîné le vol massif de données médicales...
Attaque contre CDK Global
Une cyberattaque a touché CDK Global, fournisseur de logiciels pour concessionnaires automobiles. Plus de 15 000 concessions en Amérique du Nord ont subi des perturbations...
Fuite de données chez Snowflake
Des cybercriminels ont exploité des comptes clients compromis sur la plateforme Snowflake, affectant plusieurs grandes entreprises et exposant des millions de données...
Cyberattaque contre Microsoft
Un groupe lié à la Russie a compromis plusieurs comptes de messagerie d'entreprise, accédant à des informations internes et à des échanges stratégiques...
Ransomware contre Synnovis
Une attaque a perturbé plusieurs hôpitaux londoniens, entraînant l'annulation d'opérations médicales et de nombreux examens de laboratoire...
Attaque contre le réseau X
Des cybercriminels ont revendiqué des perturbations massives du réseau social, provoquant des interruptions de service et des difficultés d'accès pour les utilisateurs...