Des agences européennes seraient également compromises
Le groupe de pirates chinois surnommé “Storm-0558” est parvenu à accéder à plusieurs comptes de messagerie d’employés du gouvernement américain en exploitant une faille de sécurité dans le cloud de Microsoft. L’incident a été révélé cette semaine par Microsoft et des responsables américains chargés de la sécurité nationale des États-Unis. Le rapport indique qu’il s’agit d’une vaste opération d’espionnage qui a touché plus de deux douzaines d’agences gouvernementales en Europe et aux États-Unis. La menace a été contenue peu de temps après son premier en juin, mais les données suggèrent que les pirates avaient accès aux systèmes gouvernementaux depuis au moins mai 2023.
Selon un billet de blogue publié mardi par Microsoft, Storm-0558 a compromis environ 25 comptes de messagerie, y compris des agences gouvernementales, ainsi que des comptes de consommateurs liés à des personnes associées à ces organisations. “Storm” est un terme utilisé par la firme de Redmond pour répertorier les groupes de pirates informatiques qui sont nouveaux, émergents ou “en cours de développement”. Microsoft n’a pas identifié les agences gouvernementales visées par Storm-0558. Adam Hodge, porte-parole du Conseil national de sécurité de la Maison Blanche, a confirmé que les agences gouvernementales avaient été touchées.
« Le mois dernier, les mesures de protection du gouvernement américain ont identifié une intrusion dans la sécurité du cloud de Microsoft, qui a affecté des systèmes non classifiés. Les fonctionnaires ont immédiatement contacté Microsoft pour trouver la source et la vulnérabilité de leur service cloud. Nous continuons à exiger des fournisseurs du gouvernement américain qu’ils respectent un seuil de sécurité élevé », a déclaré Hodge. Certaines sources, dont le Wall Street Journal (WSJ), indiquent que le département américain d’État est l’une des agences fédérales dont les données ont été compromises. L’agence a ensuite alerté Microsoft de la faille.
L’enquête de Microsoft a déterminé que le groupe Storm-0558 a accédé à des comptes de messagerie utilisant Outlook Web Access dans Exchange Online (OWA) et “Outlook.com” en falsifiant des jetons d’authentification pour accéder à des comptes d’utilisateurs. Dans son analyse technique de l’attaque, Microsoft explique que les pirates ont utilisé une clé de signature du consommateur Microsoft acquise pour falsifier les jetons d’accès à OWA et “Outlook.com”. Ensuite, les pirates ont exploité un problème de validation de jeton pour se faire passer pour des utilisateurs Azure AD (Active Directory) et accéder aux comptes de messagerie de l’entreprise.
La compromission a été “atténuée” par les équipes de cybersécurité de Microsoft après avoir été signalée pour la première fois à la société à la mi-juin 2023. Toutefois, Microsoft a précisé que l’activité malveillante de Storm-0885 est passée inaperçue pendant environ un mois, jusqu’à ce que des clients attirent son attention sur une activité de messagerie anormale. Microsoft a déclaré que l’attaque a été atténuée avec succès et que les pirates n’ont plus accès aux comptes compromis. Toutefois, il n’a pas précisé si des données sensibles avaient été exfiltrées au cours de la période d’un mois pendant laquelle les attaquants ont eu accès à ces comptes.
« Nous estimons que cet adversaire se concentre sur l’espionnage, notamment en accédant à des systèmes de messagerie pour collecter des renseignements. Ce type d’adversaire motivé par l’espionnage cherche à abuser des informations d’identification et à accéder à des données résidant dans des systèmes sensibles », a déclaré Charlie Bell, membre de l’équipe de cybersécurité de Microsoft. L’agence américaine de cybersécurité CISA (Cybersecurity and Infrastructure Security Agency) a publié un avis selon lequel les acteurs malveillants avaient accédé à des données de messagerie non classifiées, ce qui suggère que les données sont moins sensibles.
De son côté, le FBI, qui a décrit l’intrusion d’un mois comme une “campagne ciblée”, a refusé de confirmer le nombre total de victimes, mais a déclaré que le nombre d’agences gouvernementales touchées était “à un chiffre”. L’agence a toutefois refusé de nommer les agences touchées. La CISA et le FBI demandent instamment à toute organisation qui détecte une activité anormale dans Microsoft 365 de la signaler aux agences. Selon plusieurs rapports, c’est la deuxième fois au cours des derniers mois que des représentants du gouvernement reconnaissent une cyberattaque chinoise contre des infrastructures gouvernementales américaines.
Storm-0885 serait un groupe de pirates basés en Chine et Microsoft le décrit comme un adversaire “disposant de ressources importantes”. « Il s’agissait d’une technique très avancée utilisée par l’acteur de la menace contre un nombre limité de cibles de grande valeur. Chaque fois que cette technique a été utilisée, elle a augmenté les chances de l’acteur de la menace de se faire prendre. Félicitations à Microsoft pour s’être occupé du problème, l’avoir résolu rapidement et pour avoir collaboré avec ses partenaires et pour avoir fait preuve de transparence », a déclaré Charles Carmakal de Mandiant, une filiale de Google qui est spécialisée dans la cybersécurité.
Microsoft est l’un des principaux fournisseurs du gouvernement, et son logiciel Exchange est utilisé presque partout par les clients des secteurs public et privé. Mais il fait régulièrement l’objet d’attaques. Ainsi, en 2021, au moins 30 000 organisations américaines auraient été compromises d’une manière ou d’une autre par les pirates à la suite de l’exploitation d’une faille dans Microsoft Exchange. Les victimes comprennent un nombre impressionnant de petites entreprises, de villes et de gouvernements locaux. C’est un exemple typique de la menace contre laquelle les responsables de la sécurité nationale des États-Unis mettent en garde depuis des années.
source : developpez