Microsoft a alerté que certains des comptes de messageries d’entreprises avaient été compromis et que des données avaient été dérobées. Le coupable serait un groupe de cybercriminels, soutenu par la Russie et derrière l’attaque contre Solarwinds.
Le groupe portant plusieurs noms tels que Midnight Blizzard, Nobelium, Cozy Bear, ou APT29, est selon Microsoft, le responsable d’une intrusion dans les comptes de messagerie de la société américaine. Selon l’éditeur, cette campagne a débuté en novembre 2023 par une attaque de pulvérisation de mots de passe visant un compte de test. Cette méthode, similaire à la force brute, consiste à tester plusieurs combinaisons de noms d’utilisateurs et de mots de passe jusqu’à ce que les attaquants réussissent à accéder aux comptes.
Le succès de cette attaque suggère que les comptes n’étaient pas protégés par une authentification multifacteur (2FA ou MFA), une pratique de sécurité recommandée par Microsoft pour tous les comptes. Une fois les pirates ayant obtenu l’accès au compte « test », ils ont utilisé cette porte d’entrée pour compromettre un « petit pourcentage » des comptes de messagerie de la firme de Redmond au cours d’un mois. Parmi ces comptes figuraient ceux appartenant à des membres de l’équipe de direction de Microsoft ainsi qu’à des employés des départements de cybersécurité et juridique. Des courriels et des pièces jointes ont été dérobés au cours de cette opération. L’enquête de l’éditeur se veut rassurante en mentionnant que le groupe Nobelium avait initialement volé des informations liées à son propre compte, suggérant que l’attaque était ciblée et personnelle. Les personnes affectées ont été informées, et l’incident a été signalé à la SEC (Securities and Exchange Commission).