Une équipe de hackers russes, connue sous le nom de Midnight Blizzard, a récemment utilisé Microsoft Teams pour organiser une cyberattaque de type phishing. Leur but ? Dérober des identifiants de connexion et collecter des renseignements de haute importance.
il y a deux jours, Microsoft Threat Intelligence ont déclaré sur Twitter qu'ils avaient identifié des cyberattaques de la part de Midnight Blizzard (autrefois connue par Microsoft sous le nom de NOBELIUM). Ces attaques ont eu lieu sous forme de phishing en exploitant la plateforme Microsoft Teams. Ce fait récent prouve que cette équipe de hackers continue à innover et développe de nouvelles tactiques pour optimiser son processus de cyber espionnage.
Une cyberattaque sophistiquée
Cette nouvelle campagne concernerait quarante organismes différents. Cette fois, Midnight Blizzard a utilisé des comptes Microsoft 365 qui avaient déjà été compromis par le passé, souvent détenus par des petits commerces ou organisations. À partir de ceux-ci, ils créaient des nouveaux noms de domaines et les faisaient passer pour des cellules de support technique.
Grâce à cela, Midnight Blizzard utilisait directement Microsoft Teams pour envoyer ses leurres à une organisation ciblée, dans le but de voler l'intégralité des identifiants de celle-ci. Plutôt ingénieux il faut l'avouer. Ce type d'attaque plutôt complexe à mettre en place prouve à quel point il est important pour les organisations de se tenir à jour en matière de cybersécurité. Cela passe notamment par une sensibilisation aux bonnes pratiques de sécurité de ses utilisateurs.
Midnight Blizzard, un vieil ennemi
Même s'il ne porte pas le même nom, Microsoft connaît bien Midnight Blizzard et a déjà eu affaire à eux par le passé. NOBELIUM, de son ancien nom, est un groupe de hackers très actif. Selon les identifications des gouvernements américains et britanniques, il est en fait reconnu que ce dernier représente le Service de renseignement étranger de la Fédération de Russie (SVR).
Leurs cibles sont choisies avec soin : prestataires de services IT, gouvernements, entités diplomatiques ou ONG. Toutes ces organisations sont principalement situées en Europe et aux USA. Depuis 2018, l'objectif principal de Midnight Blizzard est de faire de la collecte de renseignements. Loin d'être des amateurs, leurs attaques relèvent souvent d'une très grande connaissance en cyber ingénierie. Leurs opérations impliquent également des techniques de compromission de sécurité plutôt avancées.
NOBELIUM n'est pas mort, et se montre sous un nouveau nom. Encore une fois, il prouve son expertise en cybersécurité par la complexité de ses attaques. Même si Microsoft a réussi à limiter l'impact de cette attaque récente, Midnight Blizzard reste une menace sérieuse, encore plus dans un contexte géopolitique plutôt tendu avec la Russie.
Source : Microsoft
