Tom Burt – Vice-président corporatif, sécurité des clients et confiance
Aujourd’hui, nous partageons des informations sur un acteur de la menace parrainé par un État identifié par le Microsoft Threat Intelligence Center (MSTIC) ET que nous appelons Hafnium. Hafnium opère depuis la Chine, et c’est la première fois que nous discutons de son activité. C’est un acteur hautement qualifié et sophistiqué.
Historiquement, Hafnium cible principalement des entités aux États-Unis dans le but d’exfiltrer des informations d’un certain nombre de secteurs industriels, y compris les chercheurs en maladies infectieuses, les cabinets d’avocats, les établissements d’enseignement supérieur, les entrepreneurs du domaine de la défense, les groupes de réflexion politiques et les ONG. Bien qu’Hafnium soit basé en Chine, il exerce ses activités principalement à partir de serveurs privés virtuels (VPS) loués aux États-Unis.
Récemment, Hafnium s’est lancé dans un certain nombre d’attaques utilisant des exploits jusque-là inconnus ciblant le logiciel Exchange Server sur site. À ce jour, Hafnium est le principal acteur que nous avons vu utiliser ces exploits, qui sont discutés en détail par MSTIC ici. Les attaques comprenaient trois étapes. Premièrement, il aurait accès à un serveur Exchange avec des mots de passe volés ou en utilisant les vulnérabilités non découvertes auparavant pour se déguiser en quelqu’un qui peut y avoir accès. Deuxièmement, cela créerait ce que l’on appelle un shell Web pour contrôler à distance le serveur compromis. Troisièmement, il utiliserait cet accès à distance – exécuté à partir des serveurs privés basés aux États-Unis – pour voler des données sur le réseau d’une organisation.
Nous nous concentrons sur la protection des clients contre les exploits utilisés pour mener ces attaques. Aujourd’hui, nous avons publié des mises à jour de sécurité qui protégeront les clients utilisant Exchange Server. Nous encourageons vivement tous les clients Exchange Server à appliquer ces mises à jour immédiatement. Exchange Server est principalement utilisé par les clients professionnels et nous n’avons aucune preuve que les activités d’Hafnium ciblaient des utilisateurs individuels ou que ces actions aient un impact sur d’autres produits Microsoft.
Même si nous avons travaillé rapidement pour déployer une mise à jour pour les attaques Hafnium, nous savons que de nombreux acteurs des États-nations et groupes criminels agiront rapidement pour tirer parti de tous les systèmes non corrigés. L’application rapide des correctifs d’aujourd’hui est la meilleure protection contre cette attaque.
En plus d’offrir de nouvelles protections à nos clients, nous avons informé les agences gouvernementales américaines compétentes de cette activité.
C’est la huitième fois au cours des 12 derniers mois que Microsoft divulgue publiquement des groupes d’État-nation ciblant des institutions essentielles à DE ? la société civile ; Une autre activité que nous avons divulguée a ciblé des organisations du domaine de la santé luttant contre la Covid-19, des campagnes politiques et d’autres personnes impliquées dans les élections de 2020, ainsi que des participants de haut niveau aux principales conférences décisionnelles.
Nous sommes encouragés par le fait que de nombreuses organisations partagent volontairement des données avec le monde, entre elles et avec des institutions gouvernementales engagées dans la défense. Nous remercions les chercheurs de Volexity et Dubex qui nous ont informés des aspects de cette nouvelle activité Hafnium et qui ont travaillé avec nous pour y faire face de manière responsable. Nous avons besoin de plus d’informations à partager rapidement sur les cyberattaques pour nous permettre à tous de mieux nous défendre contre elles. C’est pourquoi le président de Microsoft, Brad Smith, a récemment déclaré au Congrès américain que nous devions prendre des mesures pour exiger le signalement des cyber-incidents.
Les exploits dont nous discutons aujourd’hui n’étaient en aucun cas liés aux attaques distinctes liées à SolarWinds. Nous ne voyons toujours aucune preuve que l’acteur derrière SolarWinds a découvert ou exploité une vulnérabilité dans les produits et services Microsoft.
