Selon les informations de Microsoft, un groupe de hackeurs affiliés à la Russie aurait pris pour cible plusieurs dizaines d’organisations. Cette campagne de cyberattaques aurait permis aux cyberassaillants de récupérer les identifiants de connexion Microsoft 365 de leurs victimes.
Selon Microsoft, le groupe de hackeurs serait lié au service des renseignements russes
Dans un communiqué, Microsoft Defender Threat Intelligence a annoncé avoir identifié des cyberattaques réalisées par un groupe de hackeurs du nom de Midnight Blizzard. Basé en Russie, ce groupe est associé par les gouvernements américains et britanniques au Service des renseignements extérieurs de la fédération de Russie (SVR).
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Également connu sous le nom d’APT29, de Cozy Bear ou de UNC2454, il est actif depuis au moins 2018. Le groupe opère généralement en passant par de vrais comptes qu’ils ont réussi à hacker afin de contourner les cyberdéfenses mises en place par les organisations et s’infiltrer dans leurs systèmes d’information et de communication.
Pour arriver à leurs fins, les hackeurs ont utilisé l’ingénierie sociale, une technique qui consiste à se rapprocher de sa cible et d’exploiter ses faiblesses psychologiques pour obtenir des informations sensibles, comme des identifiants de connexion. Selon la firme de Redmond, Midnight Blizzard s’est servi de nom de domaines et de comptes ressemblant à support technique.
Un peu d’ingénierie sociale, un peu d’hameçonnage, et l’espionnage peut commencer
En se faisant passer pour un service d’assistance, les cyberassaillants contactaient leurs cibles par chat, grâce à Microsoft Teams. Dans leur discussion, ils incitaient leurs victimes à révéler leurs identifiants dans le cadre d’une authentification multifacteurs. Ainsi, ils obtenaient un token d’authentification leur permettant d’accéder totalement au compte Microsoft 365 de hauts responsables d’organisations.
Microsoft a précisé que « cette dernière attaque, combinée à des activités passées, démontre l’ingéniosité de Midnight Blizzard pour atteindre ses objectifs en utilisant à la fois des techniques nouvelles et plus courantes ». Selon le géant technologique et au vu de la liste des organisations ciblées, ces attaques informatiques ont pour but « d’espionner les agissements de leurs victimes ».
Cette année, la société dirigée par Satya Nadella avait mis en lumière les cyberattaques de Volt Typhoon, un groupe de pirates informatiques chinois parrainé par Pékin. Ils auraient à pirater plusieurs systèmes critiques américains dans le but de perturber les communications entre les États-Unis et les pays asiatiques en cas de crise. Plus récemment, elle a décelé les malversations d’un autre groupe de hackeurs chinois, Storm-0558, qui s’en était pris aux boîtes mails d’organisations gouvernementales occidentales, là aussi, en essayant d’obtenir des tokens d’authentification.