Des pirates reliés à un service de renseignement russe sont parvenus à voler des courriels et des documents à plusieurs cadres de Microsoft dans le cadre d’une campagne de piratages, a annoncé l’entreprise américaine, vendredi 19 janvier.
Dans un communiqué boursier succinct, Microsoft a expliqué avoir découvert, le 12 janvier, qu’un acteur étatique était parvenu à accéder aux messageries d’un certain nombre d’employés de l’entreprise (sans préciser le chiffre exact), dans le cadre d’une attaque commencée en novembre 2023. Microsoft affirme être parvenue à couper les accès des pirates le 13 janvier.
A ce jour, la façon dont les hackeurs sont parvenus à entrer reste floue. Selon Microsoft, les auteurs de l’opération ont commencé par faire ce que l’on appelle de la « pulvérisation de mots de passe », c’est-à-dire qu’ils ont vraisemblablement testé des mots de passe couramment utilisés ou précédemment dérobés sur un grand nombre d’adresses électroniques appartenant à l’infrastructure de Microsoft, avant de parvenir à compromettre un vieux compte de test.
Un acteur relié au piratage de SolarWinds
On ne sait pas exactement comment, à partir de là, les pirates ont réussi à prendre le contrôle d’autres boîtes électroniques. Mais, selon l’entreprise, ils ont eu accès à « un très petit pourcentage de comptes Microsoft », parmi lesquels ceux de cadres de la société ou encore d’employés des équipes de sécurité ou juridiques.
L’attaque a été attribuée par Microsoft à Nobelium (aussi appelé Midnight Blizzard, dans la typologie de l’entreprise). Il s’agit d’un acteur accusé d’être relié au Service des renseignements extérieurs de la Fédération de Russie, le SVR. Selon la société américaine, les pirates auraient notamment recherché, dans les courriels et les documents internes compromis, des informations sur… eux-mêmes, afin de découvrir ce que Microsoft savait de leurs activités.
Nobelium est notamment accusé d’être derrière le piratage de SolarWinds, l’une des plus importantes opérations d’espionnage informatique attribuées à la Russie. En août 2023, Microsoft avait par ailleurs signalé une autre campagne de piratages attribuée à Nobelium, dans laquelle des comptes compromis de certains de ses clients étaient utilisés pour mener des attaques par hameçonnage contre d’autres organisations.