Le tristement célèbre groupe cybercriminel russe Cozy Bear (également connu sous l’alias d'APT29 ou celui de Nobelium) vient de mettre en lumière de nouvelles stratégies pour s'introduire sur n’importe quel compte Microsoft 365. Ce afin de collecter un maximum de données sensibles associées à des institutions anti-russes ou localisées dans des pays hostiles à la politique actuelle du Kremlin.
Ces raids sont actuellement analysées par la société de sécurité informatique Mandiant, qui affirme que Cozy Bear exploite une triple technique pour exécuter (et cacher) ses attaques :
- Il désactive Purview Audit avant de s'engager sur Microsoft 365, via un compte email compromis
- Il force les mots de passe Microsoft 365 qui ne sont pas encore reconnus par l'authentification multifactorielle (MFA)
- Il dissimule ses traces en utilisant des machines virtuelles Azure (l’abonnement s’effectue par le biais de comptes compromis)
Azure vs Microsoft 365
Purview Audit, rappellent les chercheurs, est une fonction de sécurité de haut niveau qui enregistre tout accès à un compte de messagerie en dehors du programme (soit via le navigateur, soit via l'API Graph, soit via Outlook). De cette façon, le service informatique d’une entreprise, d’une association ou d’une collectivité peut gérer tous les comptes actifs et s'assurer qu'il n'y a pas d'accès intrusif mettant en péril la sécurité du système.
"Il s'agit d'un journal critique capable de déterminer si un cybercriminel accède à une boîte aux lettres particulière, mais aussi de juger l'étendue de l'attaque", décrit Mandiant. "C'est le seul moyen de restreindre efficacement l'accès à une messagerie face à des techniques de contournement rodées comme l'usurpation d'identité sur une application ou via l’API graphique."
APT29 est bien conscient de cette protection, et s'assure de la désactiver avant d'accéder à toute messagerie ciblée.
Les chercheurs de Mandiant ont en outre découvert que Cozy Bear abuse du processus d'auto-inscription dans Azure Active Directory (AD). Lorsqu'un utilisateur essaie de se connecter pour la première fois, il doit d'abord activer l’authentification multifactorielle sur son compte.
Les pirates informatiques cherchent à contourner cette authentification en forçant brutalement les comptes qui ne sont pas encore inscrits à la fonctionnalité de cybersécurité avancée. Ensuite, ils complètent le processus en accordant un accès illimité à l'infrastructure VPN de l'organisation cible, et donc à l'ensemble du réseau et de ses terminaux.
Enfin, les machines virtuelles d'Azure possèdent déjà des adresses IP Microsoft, et comme Microsoft 365 fonctionne sur Azure, les équipes informatiques ont du mal à différencier le trafic régulier du trafic malveillant. Cozy Bear peut encore mieux dissimuler son activité en mélangeant les URL d'applications standards avec celles de ses activités malveillantes.
La probabilité que les clients particuliers de Microsoft 365 soient ciblés par le groupe cybercriminel reste sans doute relativement faible, mais les grandes entreprises devront se montrer plus attentives face à ce vecteur d'attaque… qui pourrait être surexploité pour cibler des cadres de haut niveau et d'autres directions ayant accès à des informations économiquement sensibles.
- Meilleurs gestionnaires de mots de passe : protégez plus efficacement vos identités numériques
- Meilleurs antivirus en ligne : quel service de sécurité basé sur le cloud est le plus fiable
- Voici les meilleurs navigateurs web de 2022
