Microsoft – à travers deux publications – alerte sur de récentes attaques contre les systèmes de messagerie de 25 organisations et agences gouvernementales en Europe et aux USA.
Alerté dans un premier temps par le gouvernement américain, les chercheurs en cybersécurité de Microsoft révèlent qu’un groupe de hackers chinois – désigné sous le nom de « Storm-0558 » par l’éditeur – essaye d’obtenir des accès aux messageries dans le but de collecter des renseignements et informations sensibles. Une campagne d’espionnage qui viserait tout particulièrement les agences gouvernementales américaines et européennes.
Le groupe aurait utilisé depuis plus d’un mois des jetons d’authentification falsifiés pour accéder aux comptes de messagerie via Outlook Web Access et Outlook.com. Des activités de piratage qui ont fini par attirer l’attention de Microsoft qui a contacté les agences ciblées par les hackers et a mis en œuvre des mesures d’atténuation spécifiques pour tous les clients affectés. L’éditeur a ainsi bloqué l’utilisation des jetons signés avec la clé MSA acquise illégalement dans OWA afin de stopper les activités cybercriminels, remplacer la clé MSA compromise, bloqué tous les jetons émis avec la clé compromise.
L’annonce a lieu alors que le dernier « Patch Tuesday » lancé cette semaine vient corriger 130 failles de sécurité dont quatre failles « zero day » et 9 failles de niveau critique mais aussi alors que Microsoft précise que ce patch ne corrige pas une cinquième faille « zero day » nouvellement découverte et déjà exploitée par des cyberattaquants.
La faille CVE-2023-36884 permet ainsi l’exécution de code malveillant à partir de documents Word. Elle serait actuellement activement exploitée par le groupe de hackers russes RomCom (aussi désigné sous le nom Storm-0978). Là encore, la campagne d’attaques vise des entités gouvernementales européennes et nord-américaines. Les attaques s’appuient notamment sur des documents faisant référence au conflit en Ukraine.
Pour John Hultquist, Mandiant Chief Analyst chez Google Cloud, « le cyberespionnage chinois a beaucoup évolué s’éloignant des tactiques « smash-and-grab » jusqu’ici pratiquées. Les hackers chinois ont transformé leur stratégie qui était surtout dominée par de vastes campagnes retentissantes pour, aujourd’hui, clairement se concentrer sur la discrétion ».
Par ailleurs plutôt que de manipuler des victimes pour leur faire ouvrir des fichiers ou des liens malveillants, ces cybercriminels conçoivent de nouvelles méthodes plus sophistiquées à base de découvertes de failles Zero Day qui constituent d’ores et déjà un défi.
Enfin John Hultquist constate aussi que les hackers chinois ont changé leurs méthodes de connexion pour attaquer les systèmes visés : « À une époque, ils passaient par un simple proxy ou même directement par la Chine, mais aujourd’hui, ils se connectent par l’intermédiaire de réseaux proxy éphémères et sophistiqués constitués de systèmes compromis. Il n’est pas rare qu’une intrusion de cyberespionnage chinoise passe par un routeur domestique quelconque. Il en résulte un adversaire beaucoup plus difficile à suivre et à détecter ».
Article du 13 juillet, mis à jour le 17 juillet pour intégrer la réaction de John Hultquist de Mandiant.
puis