Microsoft met en garde contre les pirates chinois ciblant les gouvernements américain et européen

Microsoft a signalé que les pirates chinois avaient accès aux comptes de messagerie du gouvernement aux États-Unis et en Europe occidentale. La société a déclaré que les pirates, qu’elle a identifiés comme un groupe connu sous le nom de Storm-0558, étaient probablement motivés par l’espionnage.

Le piratage, qui n’a pas été détecté pendant un mois, ciblait les comptes de messagerie utilisés par environ 25 organisations, dont des agences gouvernementales et des groupes de réflexion. Microsoft a déclaré que les pirates pourraient voler des informations sensibles, notamment des e-mails, des documents et des mots de passe.

L’entreprise a déclaré qu’elle avait avisé les organisations touchées et pris des mesures pour atténuer les dommages. La société a également mis l’accent sur la collaboration avec les forces de l’ordre pour enquêter sur le piratage. Dans son billet de blog, Microsoft explique :

L’acteur a utilisé une clé MSA acquise pour forger des jetons pour accéder à OWA et Outlook.com. Les clés MSA (consommateur) et les clés Azure AD (entreprise) sont émises et gérées à partir de systèmes distincts et ne doivent être valides que pour leurs systèmes respectifs.

L’acteur a exploité un problème de validation de jeton pour se faire passer pour les utilisateurs d’Azure AD et accéder au courrier de l’entreprise. Nous n’avons aucune indication que des clés Azure AD ou toute autre clé MSA ont été utilisées par cet acteur.

OWA et Outlook.com sont les seuls services où nous avons observé l’acteur utilisant des jetons forgés avec la clé MSA acquise.

Il s’est associé à la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security (DHS) pour répondre aux besoins des clients concernés. Microsoft ajoute que ces clients ou organisations ont été contactés directement.

Voici comment Microsoft a résumé ses efforts d’atténuation pour combattre cette attaque :

Microsoft a atténué la clé MSA acquise et notre télémétrie indique que les activités de l’acteur ont été bloquées. Nous avons pris les mesures proactives suivantes au cours de notre enquête :

• Microsoft a bloqué l’utilisation de jetons signés avec la clé MSA acquise dans OWA, empêchant ainsi toute autre activité de messagerie d’entreprise d’acteurs menaçants.
• Microsoft a terminé le remplacement de la clé pour empêcher l’auteur de la menace de l’utiliser pour falsifier des jetons.
• Microsoft a bloqué l’utilisation des jetons émis avec la clé pour tous les clients grand public concernés.

Storm-0558 est un groupe de piratage chinois bien connu qui est actif depuis plusieurs années. Le groupe a été lié à plusieurs hacks de haut niveau. Et le piratage est la dernière cyberattaque de grande envergure ciblant les agences gouvernementales et d’autres organisations sensibles.

Ces dernières années, la menace du cyberespionnage chinois a suscité une inquiétude croissante. Dernièrement, Microsoft a déclaré qu’un acteur chinois parrainé par l’État ciblait les infrastructures critiques aux États-Unis . Cependant, le gouvernement chinois a nié toute implication dans le piratage. L’attaque est survenue après que le pays a repensé ses politiques pour soutenir l’industrie nationale des puces dans le cadre des restrictions américaines.