Des pirates chinois ont volé des dizaines de milliers d’e-mails sur les comptes du Département d’État américain après avoir piraté la plateforme de messagerie Exchange basée sur le cloud de Microsoft en mai.

Lors d’une récente réunion d’information du Sénat, des responsables du Département d’État américain ont révélé que les attaquants avaient volé au moins 60 000 e-mails depuis des comptes Outlook appartenant à des responsables du Département d’État en poste en Asie de l’Est, dans le Pacifique et en Europe. Reuters signalé pour la première fois.

De plus, les pirates ont réussi à obtenir une liste contenant tous les comptes de messagerie du ministère. Le personnel compromis du Département d’État s’est principalement concentré sur les efforts diplomatiques indo-pacifiques.

« Nous devons renforcer nos défenses contre ce type de cyberattaques et d’intrusions à l’avenir, et nous devons examiner attentivement la dépendance du gouvernement fédéral à l’égard d’un seul fournisseur comme point faible potentiel », a déclaré le sénateur Eric Schmitt dans un communiqué.

« Je continuerai à diriger mes collègues en réclamant davantage de réponses pour garantir que la Chine et d’autres acteurs néfastes n’aient pas accès aux informations les plus sensibles du gouvernement fédéral. »

En juillet, Microsoft a révélé qu’à partir du 15 mai 2023, des acteurs malveillants ont réussi à pirater les comptes Outlook associés à environ 25 organisations. Les organisations compromises comprennent les départements d’État et du commerce des États-Unis, ainsi que certains comptes de consommateurs vraisemblablement liés à ceux-ci.

Microsoft n’a pas divulgué de détails spécifiques concernant les organisations, agences gouvernementales ou pays concernés par cette violation de courrier électronique.

Le porte-parole du Conseil de sécurité nationale, Adam Hodge, a confirmé l’incident en juillet, affirmant que les attaquants n’avaient eu accès qu’à des systèmes non classifiés.

« Le mois dernier, les mesures de protection du gouvernement américain ont identifié une intrusion dans la sécurité du cloud de Microsoft, affectant des systèmes non classifiés », a déclaré Hodge.

« Les responsables ont immédiatement contacté Microsoft pour trouver la source et la vulnérabilité de leur service cloud. Nous continuons de maintenir les fournisseurs d’approvisionnement du gouvernement américain à un seuil de sécurité élevé. »

Des failles de messagerie liées à des cyberespions chinois

Ces attaques ont été attribuées à un collectif de cyberespionnage connu sous le nom de Storm-0558, soupçonné de chercher à obtenir des informations sensibles en infiltrant les systèmes de messagerie de leurs cibles.

Plus tôt ce mois-ci, Microsoft a révélé que le groupe malveillant avait d’abord obtenu une clé de signature client à partir d’un crash dump de Windows, une violation facilitée après avoir compromis le compte d’entreprise d’un ingénieur Microsoft, qui permettait d’accéder aux comptes de messagerie du gouvernement.

La clé de compte Microsoft (MSA) volée a été utilisée pour compromettre les comptes Exchange Online et Azure Active Directory (AD) en exploitant une vulnérabilité de validation Zero Day précédemment corrigée dans GetAccessTokenForResourceAPI. La faille a permis aux attaquants de générer des jetons d’accès signés contrefaits, ce qui leur a permis d’usurper l’identité de comptes au sein des organisations ciblées.

En réponse à la faille de sécurité, Microsoft a révoqué la clé de signature volée et, après enquête, n’a trouvé aucun autre cas d’accès non autorisé aux comptes clients via la même méthode de falsification de jeton d’accès.

Sous la pression de la Cybersecurity and Infrastructure Security Agency (CISA), Microsoft a également accepté d’élargir gratuitement l’accès aux données de journalisation dans le cloud, ce qui aiderait les défenseurs des réseaux à identifier d’éventuelles tentatives de violation de nature similaire à l’avenir.

Auparavant, ces fonctionnalités de journalisation étaient exclusivement accessibles aux clients disposant de licences de journalisation Purview Audit (Premium). Pour cette raison, Microsoft a été critiqué pour avoir empêché les organisations de détecter rapidement les attaques de Storm-0558.