Microsoft confirme avoir été piraté par LAPSUS$

MISE À JOUR 3/23 : Suite au dumping de fichiers par le groupe de piratage LAPSUS $ qu’il aurait créé en piratant Microsoft, Microsoft a maintenant confirmé qu’il avait été compromis via un seul compte.

Dans le cadre d’un article de blog sur la sécurité publié hier, Microsoft a inclus une section intitulée « Actions des acteurs ciblant Microsoft » qui explique ce qui s’est passé :

“Cette semaine, l’acteur a déclaré publiquement qu’il avait eu accès à Microsoft et extrait des parties du code source. Aucun code ou donnée client n’était impliqué dans les activités observées. Notre enquête a révélé qu’un seul compte avait été compromis, accordant un accès limité. Nos équipes d’intervention en matière de cybersécurité se sont rapidement mobilisées pour remédier au compte compromis et empêcher toute activité ultérieure.

Microsoft ne s’appuie pas sur le secret du code comme mesure de sécurité, et l’affichage du code source n’entraîne pas de risque accru. Les tactiques DEV-0537 utilisées dans cette intrusion reflètent les tactiques et techniques discutées dans ce blog. Notre équipe enquêtait déjà sur le compte compromis sur la base de renseignements sur les menaces lorsque l’acteur a révélé publiquement son intrusion. Cette divulgation publique a intensifié notre action, permettant à notre équipe d’intervenir et de perturber l’acteur au milieu de l’opération, limitant un impact plus large.”

Bien que tout piratage réussi soit une mauvaise nouvelle pour une organisation, dans ce cas, il semble très limité et n’a aucun impact sur les clients Microsoft.

Les recommandations de Microsoft pour aider à prévenir des attaques LAPSUS$ similaires incluent l’utilisation d’une authentification multifacteur pour tous les utilisateurs dans tous les emplacements, l’encouragement de mots de passe forts, l’utilisation d’une authentification sans mot de passe si disponible et l’ajout d’un VPN comme couche d’authentification supplémentaire.


Histoire originale 22/03 :
Le groupe de cybercriminels qui prétend avoir violé Microsoft a commencé à vider des fichiers prétendument tirés du piratage.

Lundi, le gang LAPSUS$ a commencé à faire circuler un fichier compressé de 10 Go contenant prétendument des données internes sur le moteur de recherche Bing de Microsoft et Bing Maps, ainsi que le code source du logiciel d’assistant vocal de la société, Cortana.

“Bing Map est un vidage complet à 90 %. Bing et Cortana environ 45%”, a déclaré LAPSUS$ dans un message sur le chat public du groupe.

Selon BleepingComputer, l’archive s’étend à 37 Go une fois décompressée et contient le code source de plus de 250 projets qui semblent appartenir à Microsoft. S’il est réel, le vidage de fichiers risque d’exposer des informations sensibles sur l’entreprise, y compris les données des employés et les certificats logiciels, qui pourraient être davantage exploitées par les cybercriminels.

Microsoft n’a pas immédiatement répondu à une demande de commentaire. Jusqu’à présent, la société a seulement déclaré qu’elle enquêtait sur le piratage présumé. Cependant, le gang LAPSUS$ affirme que le groupe a déjà perdu l’accès aux systèmes Microsoft.

“Access est mort quand je dormais”, a écrit l’un des membres dans le chat public du groupe. Cela aurait été un dépotoir complet. Mais nous étions tous fatigués.”

Recommandé par nos rédacteurs

Le vidage de fichier se produit également car LAPSUS $ peut avoir révélé comment il a piraté Microsoft. Lundi, le groupe a affirmé avoir violé Okta, une société qui gère des systèmes d’authentification pour 15 000 marques.

« Des milliers d’entreprises utilisent Okta pour sécuriser et gérer leurs identités », a déclaré la société de sécurité informatique Checkpoint. “Grâce aux clés privées récupérées au sein d’Okta, le cybergang peut accéder aux réseaux et applications de l’entreprise. Par conséquent, une brèche chez Okta pourrait avoir des conséquences potentiellement désastreuses.”

Dans son chat public, LAPSUS$ a déclaré qu’il n’avait volé aucune base de données Okta, mais qu’il ciblait les entreprises clientes de l’entreprise. Jusqu’à présent, Okta a seulement déclaré avoir détecté “une tentative de compromission du compte d’un ingénieur de support client externe” travaillant sur un “sous-traitant” de l’entreprise il y a deux mois. Mais l’incident a été contenu par la suite.

“Sur la base de notre enquête à ce jour, il n’y a aucune preuve d’activité malveillante en cours au-delà de l’activité détectée en janvier”, a déclaré le responsable de la sécurité d’Okta.

Aimez-vous ce que vous lisez?

S’inscrire à surveillance de sécurité newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.

Leave a Comment