Selon Microsoft, les hackers russes connus sous les noms d’APT 29, Cozy Bear ou Nobelium, ont ciblé plus de 140 de ses partenaires revendeurs depuis le mois de mai. Au moins 14 fournisseurs de services informatiques ont été compromis.

Dans un billet de blog qui nous ramène à l’époque de la Guerre Froide, Tom Burt, en charge de la sécurité et de la confiance des clients chez Microsoft, déclare que les hackers à l’origine de l’attaque de SolarWinds sont responsables de cette nouvelle vague d’attaques : « Cette activité récente est une tentative de la Russie d’obtenir un accès systématique, à long terme, à divers points de la chaîne d’approvisionnement technologique pour établir un mécanisme de surveillance ».

Selon le géant de Redmond, ces hackers font partie du Service de Renseignement Extérieur Russe (SVR). La Russie, elle, nie toute implication. Les cyberattaquants utiliseraient la pulvérisation de mots de passe et le hameçonnage pour voler des identifiants et s’introduire dans les réseaux des revendeurs. Depuis mai, leur campagne se concentre sur les revendeurs en Europe et en Amérique du Nord, d’après Charles Carmakal, le directeur technique de Mandiant (précédemment FireEye). « Attaquer des clients finaux via leur fournisseur de services rend la découverte de compromissions difficile (…). L’intrusion initiale est loin des cibles finales. »

En trois mois et demi, Microsoft déclare avoir notifié 609 de ses clients de 22.868 attaques au total, dont le taux de réussite est inférieur à 10%.

« Les privilèges administratifs délégués ne sont souvent ni audités ni désactivés par le fournisseur de services ou le client une fois l’utilisation terminée, ce qui les laisse actifs jusqu’à ce qu’ils soient supprimés par les administrateurs », ajoute le Microsoft Threat Intelligence Center (MSTIC) dans un autre billet de blog hier.

À partir du mois de novembre, Microsoft va mettre à disposition un outil pour identifier et afficher toutes les connexions actives de privilèges administratifs délégués afin d’aider les entreprises à découvrir les connexions inutilisées pour les supprimer.