Microsoft limite l'accès des pirates aux comptes de messagerie du gouvernement

Microsoft a annoncé qu’il avait récemment bloqué un groupe de pirates, qu’il a appelé Storm-0558, qui accédait à des comptes de messagerie appartenant à environ 25 organisations, y compris des agences gouvernementales.

Comment les pirates ont obtenu l’accès aux comptes de messagerie

Dans un article de blog, Microsoft a déclaré avoir commencé à enquêter sur une activité anormale dans certains comptes de messagerie le 16 juin après en avoir été informé par les clients. Son enquête a révélé qu’à partir du 15 mai, le groupe de piratage a exploité une vulnérabilité pour falsifier des jetons d’authentification et accéder aux comptes Microsoft 365 des organisations. À l’aide d’une clé de signature de compte client Microsoft compromise, les pirates pourraient se faire passer pour des utilisateurs et accéder à des comptes de messagerie via des services tels qu’Outlook Web Access et Outlook.com. Selon un récent avis conjoint de la Cybersecurity and Infrastructure Security Agency (CISA) et du FBI, l’agence fédérale a observé une activité suspecte dans ses journaux Microsoft 365. Cela a conduit à la découverte que des acteurs de menaces persistantes avancées avaient accédé et exfiltré des données de certains comptes Exchange Online Outlook.

Qu’est-ce que la tempête-0558 ?

Selon le profil d’acteur Microsoft de Storm-0558, la description du groupe est la suivante : Storm-0558 (DEV-0558) est un groupe d’activités d’État-nation basé en Chine. Ils se concentrent sur l’espionnage, le vol de données et l’accès aux informations d’identification. Ils sont également connus pour utiliser des logiciels malveillants personnalisés que Microsoft suit sous le nom de Cigril et Bling, pour l’accès aux informations d’identification.

Comment le problème a été résolu

La CISA et le FBI ont conseillé aux organisations utilisant Exchange Online de mettre en œuvre une surveillance et une journalisation améliorées pour détecter des attaques similaires. Leurs recommandations incluent l’activation de fonctionnalités avancées de journalisation d’audit et l’obtention d’une visibilité sur les modèles de trafic cloud standard. Microsoft affirme avoir entièrement résolu le problème et bloqué l’accès des pirates. Il travaille avec les clients concernés et les a informés avant sa divulgation publique. La société a déclaré qu’elle n’avait trouvé aucune preuve que les pirates informatiques étaient restés dans les systèmes de l’entreprise.

Atténuation des futures cyberattaques

Cette dernière activité survient alors que les cyberattaques continuent d’augmenter contre les organisations du monde entier. Le sénateur américain Mark R. Warner, président de la commission spéciale du Sénat sur le renseignement, s’est dit préoccupé par les informations faisant état de la dernière cyberattaque et de ce qui serait nécessaire pour prévenir de futurs incidents. « La commission sénatoriale du renseignement surveille de près ce qui semble être une violation importante de la cybersécurité par les services de renseignement chinois. Il est clair que la RPC améliore régulièrement ses capacités de cybercollecte dirigées contre les États-Unis et nos alliés. Une coordination étroite entre le gouvernement américain et le secteur privé sera essentielle pour contrer cette menace. Microsoft prévoit de continuer à améliorer la sécurité autour des clés de compte et des jetons pour garder une longueur d’avance sur l’évolution des cyber-risques. Il a souligné la nécessité d’une collaboration et d’une transparence continues pour renforcer les défenses de l’industrie technologique contre les campagnes de piratage sophistiquées. Image en vedette : Koshiro K/Shutterstock