Microsoft limite l'accès des pirates aux comptes de messagerie du gouvernement

Microsoft limite l'accès des pirates aux comptes de messagerie du gouvernement

12 juillet 2023

Microsoft a annoncé qu'il avait récemment bloqué un groupe de pirates, baptisé Storm-0558, qui accédait à des comptes de messagerie appartenant à environ 25 organisations, y compris des agences gouvernementales.

Comment les pirates ont obtenu l'accès à Comptes de messagerie

Dans une cible article de blog, Microsoft a déclaré avoir commencé à enquêter sur une activité anormale dans certains comptes de messagerie le 16 juin après avoir été informé par des clients.

article de blog

Son enquête a révélé qu'à partir de 15 mai, le groupe de piratage a exploité une vulnérabilité pour falsifier des jetons d'authentification et accéder aux comptes Microsoft 365 des organisations.

15 mai, le groupe de piratage a exploité une vulnérabilité pour falsifier des jetons d'authentification et accéder aux comptes Microsoft 365 des organisations.

En utilisant une clé de signature de compte client Microsoft compromise, les pirates pourraient usurper l'identité des utilisateurs et accéder aux comptes de messagerie via des services tels qu'Outlook Web Access et Outlook.com.

En utilisant une clé de signature de compte client Microsoft compromise, les pirates pourraient usurper l'identité des utilisateurs et accéder aux comptes de messagerie via des services tels qu'Outlook Web Access et Outlook.com.

Selon un récent rapport conjoint < un href='https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-193a' target='_blank'>avis de la Cybersecurity and Infrastructure Security Agency (CISA) et du FBI , l'agence fédérale a observé une activité suspecte dans ses journaux Microsoft 365.

Selon un récent rapport conjoint < un href='https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-193a' target='_blank'>avis

Cela a conduit à la découverte que des acteurs de menaces persistantes avancées avaient accédé et exfiltré des données de certains comptes Exchange Online Outlook.

Quoi Est-ce que Storm-0558 ?

Selon Microsoft profil d'acteur de Storm-0558, la description du groupe est la suivante :

profil d'acteur

Storm-0558 (DEV-0558) est un groupe d'activités d'État-nation basé en Chine. Ils se concentrent sur l'espionnage, le vol de données et l'accès aux informations d'identification. Ils sont également connus pour utiliser des logiciels malveillants personnalisés que Microsoft suit sous le nom de Cigril et Bling, pour l'accès aux informations d'identification.

Storm-0558 (DEV-0558) est un groupe d'activités d'État-nation basé en Chine. Ils se concentrent sur l'espionnage, le vol de données et l'accès aux informations d'identification. Ils sont également connus pour utiliser des logiciels malveillants personnalisés que Microsoft suit sous le nom de Cigril et Bling, pour l'accès aux informations d'identification.

Comment le problème a été résolu

CISA et le FBI ont conseillé les organisations utilisant Exchange Online pour mettre en œuvre une surveillance et une journalisation améliorées pour détecter des attaques similaires.

Leurs recommandations incluent l'activation de fonctionnalités avancées de journalisation d'audit et l'obtention d'une visibilité sur les modèles de trafic cloud standard.

Microsoft affirme qu'il a entièrement résolu le problème et bloqué l'accès des pirates. Il travaille avec les clients concernés et les a informés avant sa divulgation publique.

La société a déclaré n'avoir trouvé aucune preuve que les pirates informatiques étaient restés dans les systèmes de l'entreprise.

Atténuation des futures cyberattaques

Cette dernière activité survient alors que les cyberattaques continuent d'augmenter contre les organisations du monde entier.

Le sénateur américain Mark R. Warner, président de la commission spéciale du Sénat sur le renseignement, s'est dit préoccupé par les informations faisant état de la dernière cyberattaque et de ce qui serait nécessaire pour prévenir de futurs incidents.

“ La commission sénatoriale du renseignement surveille de près ce qui semble être une violation importante de la cybersécurité par les services de renseignement chinois. Il est clair que la RPC améliore régulièrement ses capacités de cybercollecte dirigées contre les États-Unis et nos alliés. Une coordination étroite entre le gouvernement américain et le secteur privé sera essentielle pour contrer cette menace. »

“ La commission sénatoriale du renseignement surveille de près ce qui semble être une violation importante de la cybersécurité par les services de renseignement chinois. Il est clair que la RPC améliore régulièrement ses capacités de cybercollecte dirigées contre les États-Unis et nos alliés. Une coordination étroite entre le gouvernement américain et le secteur privé sera essentielle pour contrer cette menace. »

Microsoft prévoit de continuer à améliorer la sécurité autour des clés de compte et des jetons pour garder une longueur d'avance sur l'évolution des cyber-risques.

Il a souligné la nécessité d'une collaboration et d'une transparence continues pour renforcer les défenses dans l'industrie technologique contre les campagnes de piratage sophistiquées.


Image en vedette : Koshiro K/Shutterstock

Image en vedette : Koshiro K/Shutterstock