Microsoft déclare que des hackers russes ont pénétré ses systèmes et volé du code source

En janvier, l’équipe de sécurité de Microsoft a détecté une attaque d’État-nation sur ses systèmes de messagerie d’entreprise par un acteur soutenu par l’État russe, Midnight Blizzard, également connu sous le nom de Nobelium.

Dans cette attaque, des e-mails et des documents provenant des comptes du personnel ont été volés.

Dans une mise à jour concernant cette violation, le géant de Redmond a déclaré vendredi que les hackers tentent toujours d’accéder à ses systèmes et ont réussi à voler « certains des dépôts de code source de l’entreprise et des systèmes internes » en utilisant des secrets d’authentification volés lors de la cyberattaque de janvier.

« Au cours des dernières semaines, nous avons vu des preuves que Midnight Blizzard [Nobelium] utilise des informations initialement exfiltrées de nos systèmes de messagerie d’entreprise pour obtenir, ou tenter d’obtenir, un accès non autorisé », a déclaré Microsoft dans une mise à jour de son blog vendredi.

« Cela a inclus l’accès à certains des dépôts de code source de l’entreprise et des systèmes internes. À ce jour, nous n’avons trouvé aucune preuve que les systèmes orientés client hébergés par Microsoft ont été compromis. »

Microsoft a déclaré que Midnight Blizzard tente d’utiliser des secrets de différents types qu’il a trouvés, dont certains des secrets ont été partagés entre les clients et Microsoft par e-mail, qui sont probablement des mots de passe, des certificats, des identifiants et des clés d’authentification.

L’entreprise a déjà commencé à contacter les clients concernés pour les aider à prendre des mesures d’atténuation, alors qu’elle découvre ces informations dans ses e-mails exfiltrés.

De plus, l’entreprise indique que Midnight Blizzard a augmenté le volume de certains aspects de l’attaque, tels que les pulvérisations de mots de passe, jusqu’à 10 fois en février, par rapport au volume déjà important observé en janvier 2024.

L’entreprise a déclaré que les pulvérisations de mots de passe sont un type d’attaque par force brute dans lequel un hacker utilise quelques mots de passe couramment utilisés pour essayer d’accéder à plusieurs comptes cibles (noms d’utilisateur).

« L’attaque en cours de Midnight Blizzard se caractérise par un engagement soutenu et significatif des ressources de l’acteur de la menace, une coordination et un focus. Il peut utiliser les informations qu’il a obtenues pour accumuler une image des zones à attaquer et améliorer sa capacité à le faire », a déclaré Microsoft.

« Cela reflète ce qui est devenu plus largement un paysage de menaces mondiales sans précédent, en particulier en termes d’attaques sophistiquées d’États-nations », a-t-il ajouté.

Microsoft déclare avoir augmenté ses investissements en matière de sécurité, la coordination et la mobilisation inter-entreprises et a amélioré sa capacité à se défendre contre des acteurs de menaces persistantes avancées.

« Nous avons et continuerons à mettre en place des contrôles de sécurité améliorés, des détections et une surveillance supplémentaires. Nos enquêtes actives sur les activités de Midnight Blizzard sont en cours, et les résultats de nos enquêtes continueront d’évoluer. Nous restons engagés à partager ce que nous apprenons », a conclu Microsoft.