Sécurité informatique : le géant américain Microsoft continue de subir les revers de l’attaque de SolarWinds
La société de Redmond n’a pas fini d’en pâtir depuis que SolarWinds a été touché de plein fouet par une attaque fourbe mais efficace.
En effet selon les récentes informations qui circulent sur le sujet, Microsoft continue d’être toujours ciblé par le groupe Nobelium, l’équipe de cybercriminels derrière la le célèbre piratage informatique de la société Texane. Comme nous le savons en plus de Microsoft, des milliers d’organisation à travers le monde ont été aussi de touchées de plein fouet. Parmi ces organisations on compte 9 agences fédérales américaines.
Cet article va aussi vous intéresser : Attaque informatique contre SolarWinds : un stagiaire pointé du doigt pour fuite de mot de passe
Récemment, Microsoft indiqué dans une déclaration publique qu’il avait découvert dans son système informatique un « logiciel malveillant voleur d’informations » sur un appareil informatique utilisé par l’un ses agents d’assistances. Selon la déclaration de Microsoft, cet agent d’assistance avait accès « informations de base sur les comptes d’un petit nombre de nos clients ».
« L’attaquant a utilisé ces informations, dans certains cas, pour lancer des attaques très ciblées dans le cadre d’une campagne plus large. Nous avons réagi rapidement, supprimé l’accès et sécurisé l’appareil », explique l’entreprise américaine.
« L’enquête est en cours, mais nous pouvons confirmer que nos agents d’assistance sont configurés avec l’ensemble minimal de permissions requises, dans le cadre de notre approche Zero Trust, aux informations des clients. Nous notifions tous les clients impactés et nous les soutenons pour que leurs comptes restent sécurisés. », ajoute elle dans sa déclaration.
La société de Redmond recommande alors l’utilisation du mode d’authentification à multiples facteurs ainsi que de l’établissement des architectures de type Zero Trust pour une meilleure protection des infrastructures informatiques.
Par ailleurs Microsoft avait informé sur le fait que le groupe de pirate informatique avait initié une compagne de phishing en usurpant l’identité de l’organisation USAID. Cette campagne de piratage informatique réussissait car ces derniers avait pris le contrôle du compte de l’organisation, sur une plate-forme de marketing par courrier électronique Constant Contact. Cette campagne de phishing ciblait principalement près de 3 000 comptes qui sont tous liés à des agences du gouvernement américains ou européennes, à des think tank, à des organisations non gouvernementales et à des consultants privés. La firme de Redmond a précisé qu’elle continue d’observer des « attaques de type password spraying et par force brute ».
« Cette activité récente a été infructueuse dans la plupart des cas, et la majorité des cibles n’ont pas été compromises avec succès – nous avons connaissance de trois entités compromises à ce jour », précise le géant américain. « Tous les clients été compromis ou ciblés sont contactés par le biais de notre processus de notification des attaques par un groupe soutenu par un gouvernement. ».
Dans un second article publié par Microsoft ce vendredi, la société américaine reconnaissait qu’un logiciel malveillant, précisément un pilote avait réussi à contourner les protections qui ont été déployés par cette dernière de sorte à ce que ces programmes le reconnaissent.
« L’activité de l’attaquant se limite au secteur des jeux, en particulier en Chine, et ne semble pas viser les environnements d’entreprise. Nous ne l’attribuons pas à un groupe soutenu par un gouvernement pour le moment », déclare la firme de Redmond. « Son objectif est d’utiliser le pilote pour usurper la géolocalisation, afin de tromper le système et jouer de n’importe où. Le malware permet d’obtenir un avantage dans les jeux et éventuellement d’exploiter d’autres joueurs, en compromettant leurs comptes grâce à des outils courants comme les enregistreurs de frappe. », ajoute-elle.
Après l’observation de cet incident, Microsoft a pris l’engagement d’affiner au mieux ces politiques et ses processus de validation ainsi que de signatures. Il affirme avec force que ces applications malveillantes seront bel et bien bloquées par ses applications de défense.
Si Microsoft a surnommé le programme malveillant de « pilote », celui qui l’a découvert, à savoir Karsten Hahn de la firme G Data, lui le qualifie plutôt de Netfilter, en quelque sorte un « rootkit ». « Au moment où nous écrivons ces lignes, nous ne savons toujours pas comment le pilote a pu passer le processus de signature », note ce dernier.
Selon le chercheur, c’est grâce à une enquête réalisée dans Virustotal qu’il a été possible de trouver des échantillons de signature qui remontait depuis le mois de mars. Selon lui le programme informatique dont il est question ici dispose d’un mécanisme lui permettant de faire des mises à jour, après qu’il ait pu être en contact avec une adresse IP particulière. Alors il est en mesure d’installer un certificat racine et déployer des mises à jour.
Microsoft de son côté a signifié que pour que une attaque informatique puisse fonctionner grâce à ce programme malveillant, il faudra nécessairement que les cybercriminels puissent disposer de privilège d’administrateur. Ce n’est qu’ainsi, qu’il peut alors mettre à jour l’ensemble des clés de registre et installer les pilotes nécessaires.
Accédez maintenant à un nombre illimité de mot de passe :