Microsoft a révélé mardi avoir repoussé une cyberattaque mise en scène par un acteur de l’État-nation chinois ciblant deux douzaines d’organisations, dont certaines comprennent des agences gouvernementales, dans une campagne de cyberespionnage conçue pour acquérir des données confidentielles.
Les attaques, qui ont commencé le 15 mai 2023, impliquaient l’accès à des comptes de messagerie affectant environ 25 entités et un petit nombre de comptes de consommateurs individuels associés.
Le géant de la technologie a attribué la campagne à Storm-0558, la décrivant comme un groupe d’activités d’État-nation basé en Chine qui cible principalement les agences gouvernementales d’Europe occidentale.
« Ils se concentrent sur l’espionnage, le vol de données et l’accès aux informations d’identification », a déclaré Microsoft. « Ils sont également connus pour utiliser des logiciels malveillants personnalisés que Microsoft suit sous le nom de Cigril et Bling, pour l’accès aux informations d’identification. »
La violation aurait été détectée un mois plus tard, le 16 juin 2023, après qu’un client non identifié ait signalé l’activité anormale de courrier électronique à l’entreprise.
Microsoft a déclaré avoir informé toutes les organisations ciblées ou compromises directement via leurs administrateurs locataires. Il n’a pas nommé les organisations et agences concernées ni le nombre de comptes susceptibles d’avoir été piratés.
Cependant, selon le Washington Post, les attaquants ont également pénétré par effraction dans un certain nombre de comptes de messagerie américains non classifiés.
L’accès aux comptes de messagerie des clients, par Redmond, a été facilité via Outlook Web Access dans Exchange Online (OWA) et Outlook.com en falsifiant des jetons d’authentification.
« L’acteur a utilisé une clé MSA acquise pour forger des jetons pour accéder à OWA et Outlook.com », a-t-il expliqué. « Les clés MSA (consommateur) et les clés Azure AD (entreprise) sont émises et gérées à partir de systèmes distincts et ne doivent être valides que pour leurs systèmes respectifs. »
« L’acteur a exploité un problème de validation de jeton pour se faire passer pour les utilisateurs d’Azure AD et accéder au courrier de l’entreprise. »
Il n’y a aucune preuve que l’auteur de la menace a utilisé des clés Azure AD ou toute autre clé MSA pour mener les attaques. Microsoft a depuis bloqué l’utilisation de jetons signés avec la clé MSA acquise dans OWA pour atténuer l’attaque.
« Ce type d’adversaire motivé par l’espionnage cherche à abuser des informations d’identification et à accéder aux données résidant dans des systèmes sensibles », a déclaré Charlie Bell, vice-président exécutif de Microsoft Security.
La divulgation intervient plus d’un mois après que Microsoft a révélé des attaques d’infrastructures critiques montées par un collectif d’adversaires chinois appelé Volt Typhoon (alias Bronze Silhouette ou Vanguard Panda) ciblant les États-Unis.
