Menu








Les pirates de SolarWinds attaquent de nouvelles victimes, dont un agent de support Microsoft

28 juin 2021 - Technologies
Les pirates de SolarWinds attaquent de nouvelles victimes, dont un agent de support Microsoft


Un téléphone et le mur derrière lui partagent un logo solarwinds.

Les pirates informatiques de l’État-nation qui ont orchestré l’attaque de la chaîne d’approvisionnement de SolarWinds ont compromis l’ordinateur d’un employé de Microsoft et utilisé l’accès pour lancer des attaques ciblées contre les clients de l’entreprise, a déclaré Microsoft dans un communiqué laconique publié tard vendredi après-midi.

Le groupe de piratage a également compromis trois entités en utilisant des techniques de pulvérisation de mots de passe et de force brute, qui obtiennent un accès non autorisé aux comptes en bombardant les serveurs de connexion avec un grand nombre de tentatives de connexion. À l’exception des trois entités non divulguées, a déclaré Microsoft, la campagne de pulvérisation de mots de passe a été « la plupart du temps infructueuse ». Microsoft a depuis notifié toutes les cibles, que les attaques aient réussi ou non.

Entrez Nobelium

Les découvertes sont intervenues dans le cadre de l’enquête continue de Microsoft sur Nobelium, le nom de Microsoft pour le groupe de piratage sophistiqué qui a utilisé les mises à jour logicielles de SolarWinds et d’autres moyens pour compromettre les réseaux appartenant à neuf agences américaines et 100 sociétés privées. Le gouvernement fédéral a déclaré que Nobelium faisait partie du Service fédéral de sécurité du gouvernement russe.

« Dans le cadre de notre enquête sur cette activité en cours, nous avons également détecté des logiciels malveillants de vol d’informations sur une machine appartenant à l’un de nos agents de support client ayant accès aux informations de base du compte pour un petit nombre de nos clients », a déclaré Microsoft dans un communiqué. Publier. « L’acteur a utilisé ces informations dans certains cas pour lancer des attaques très ciblées dans le cadre de leur campagne plus large. »

Selon Reuters, Microsoft a publié la divulgation de la violation après qu’un des journalistes du média ait interrogé l’entreprise sur la notification qu’elle avait envoyée aux clients ciblés ou piratés. Microsoft n’a révélé l’infection de l’ordinateur du travailleur qu’au quatrième paragraphe du message de cinq paragraphes.

L’agent infecté, a déclaré Reuters, pourrait accéder aux informations de contact de facturation et aux services payés par les clients, entre autres. « Microsoft a averti les clients concernés de faire attention aux communications avec leurs contacts de facturation et d’envisager de modifier ces noms d’utilisateur et adresses e-mail, ainsi que d’interdire aux anciens noms d’utilisateur de se connecter », a rapporté le service de presse.

L’attaque de la chaîne d’approvisionnement contre SolarWinds a été révélée en décembre. Après avoir piraté la société basée à Austin, au Texas, et pris le contrôle de son système de création de logiciels, Nobelium a envoyé des mises à jour malveillantes à environ 18 000 clients SolarWinds.

« La dernière cyberattaque signalée par Microsoft n’implique en aucune façon notre entreprise ou nos clients », a déclaré un représentant de SolarWinds dans un e-mail.

Un large éventail de cibles

L’attaque de la chaîne d’approvisionnement de SolarWinds n’était pas le seul moyen pour Nobelium de compromettre ses objectifs. Le fournisseur d’anti-malware Malwarebytes a déclaré qu’il était également infecté par Nobelium mais par un vecteur différent, que la société n’a pas identifié.

Microsoft et le fournisseur de gestion de messagerie Mimecast ont également déclaré qu’eux aussi avaient été piratés par Nobelium, qui a ensuite utilisé les compromis pour pirater les clients ou partenaires de l’entreprise.

Microsoft a déclaré que l’activité de diffusion de mots de passe ciblait des clients spécifiques, dont 57 % d’entreprises informatiques, 20 % d’organisations gouvernementales et le reste d’organisations non gouvernementales, de groupes de réflexion et de services financiers. Environ 45 pour cent de l’activité se concentrait sur les intérêts américains, 10 pour cent visaient les clients britanniques et un plus petit nombre était en Allemagne et au Canada. Au total, des clients dans 36 pays ont été ciblés.

Reuters, citant un porte-parole de Microsoft, a déclaré que la violation divulguée vendredi ne faisait pas partie de la précédente attaque réussie de Nobelium contre Microsoft. La société n’a pas encore fourni de détails clés, notamment depuis combien de temps l’ordinateur de l’agent a été compromis et si la compromission a touché une machine gérée par Microsoft sur un réseau Microsoft ou un appareil sous-traitant sur un réseau domestique.

La divulgation de vendredi a été un choc pour de nombreux analystes de la sécurité.

« Je veux dire, mon Dieu, si Microsoft ne peut pas garder son propre kit exempt de virus, comment le reste du monde de l’entreprise est-il censé le faire ? » Kenn White, responsable de la sécurité des produits chez MongoDB, m’a dit. « Vous auriez pensé que les systèmes orientés client seraient parmi les plus endurcis. »