Le 12 janvier 2024, Microsoft a détecté une intrusion dans ses systèmes corporate par Midnight Blizzard (APT29/Cozy Bear/Nobelium), groupe de cyberespionnage affilié aux services de renseignement russes (SVR). L’attaque, initiée en novembre 2023, a permis l’accès aux boîtes mail de membres de la direction et des équipes de cybersécurité.

La méthode : password spray sur un compte legacy sans MFA

Les attaquants ont compromis un ancien compte de test non-production (« legacy tenant account ») qui ne bénéficiait pas de l’authentification multi-facteurs. Via une attaque par password spray — technique consistant à tester un petit nombre de mots de passe courants sur un grand nombre de comptes pour éviter les blocages — ils ont obtenu un premier accès fin novembre 2023. À partir de ce compte, ils ont exploité ses permissions OAuth pour accéder aux boîtes mail d’un petit pourcentage de comptes d’entreprise, incluant des membres de l’équipe dirigeante, de l’équipe juridique et de l’équipe de cybersécurité de Microsoft. Des emails et documents joints ont été exfiltrés.

Un objectif de contre-renseignement 

Microsoft a révélé que Midnight Blizzard cherchait principalement à savoir ce que Microsoft savait du groupe lui-même — une opération de contre-renseignement particulièrement audacieuse. En mars 2024, Microsoft a signalé que les attaquants utilisaient les informations exfiltrées pour tenter d’accéder à des dépôts de code source et des systèmes internes. Midnight Blizzard est le même groupe à l’origine de l’attaque SolarWinds de 2020, qui avait compromis plus de 18 000 organisations clientes. Hewlett Packard Enterprise avait également signalé une attaque similaire de ce groupe en décembre 2023.

Les enseignements pour toutes les organisations

Cet incident démontre qu’aucune organisation n’est immunisée contre les acteurs étatiques sophistiqués. Il souligne également le danger des comptes legacy et de test non maintenus — des « portes dérobées » oubliées que les attaquants savent repérer et exploiter. Microsoft a depuis renforcé ses politiques via son « Secure Future Initiative ».

Recommandations clés

  • Supprimer ou désactiver tous les comptes inactifs, de test ou legacy dans l’ensemble de l’organisation
  • Appliquer le MFA sans exception sur l’intégralité des comptes Microsoft 365, Azure AD et Entra ID
  • Implémenter des politiques d’accès conditionnel et surveiller les applications OAuth enregistrées
  • Détecter et alerter sur les tentatives de password spray via Microsoft Sentinel ou équivalent
  • Effectuer des révisions régulières des permissions accordées aux applications et comptes de service
  • Mettre en oeuvre une stratégie de détection des menaces persistantes avancées (APT)

Articles Similaires