Aujourd’hui, nous partageons publiquement des informations sur un acteur bénéficiant d’un appui de niveau étatique, identifié par le Microsoft Threat Intelligence Center (MSTIC), que nous appelons Hafnium. Hafnium opère depuis la Chine et c’est la première fois que nous relatons ses activités. Il s’agit d’un acteur hautement qualifié et sophistiqué.
Historiquement, Hafnium cible principalement des entités aux États-Unis dans le but d’exfiltrer des informations provenant d’un certain nombre de secteurs industriels, y compris des chercheurs en maladies infectieuses, des cabinets d’avocats, des établissements d’enseignement supérieur, des entreprises de la défense, des think tanks politiques et des ONG. Bien qu’Hafnium soit basé en Chine, il mène ses opérations principalement à partir de serveurs privés virtuels (VPS) loués aux États-Unis.
Plus récemment, Hafnium s’est livré à un certain nombre d’attaques à l’aide de codes d’exploitation jusqu’alors inconnus ciblant les versions locales d’Exchange Server. À ce jour, Hafnium est le principal acteur que nous avons observé à utiliser ces codes d’exploitation, sur lesquels nous revenons en détails ici avec le MSTIC. Les attaques comprendraient trois étapes. La première d’entre elles serait l’accès à un serveur Exchange grâce à des mots de passe volés, ou en utilisant des vulnérabilités jusque-là inconnues, pour se faire passer pour un utilisateur possédant des droits d’accès. L’étape suivante serait la création de ce que nous appelons un web shell pour contrôler le serveur compromis à distance. La troisième et dernière étape serait l’utilisation de cet accès à distance – accès géré à partir de serveurs privés virtuels basés aux États-Unis – pour voler des données du réseau d’une organisation.
Nous sommes mobilisés pour la protection de nos clients contre les codes d’exploitation utilisés pour mener ces attaques. Aujourd’hui, nous avons publié des mises à jour de sécurité qui protégeront les clients utilisant Exchange Server. Nous encourageons fortement tous les clients d’Exchange Server à appliquer ces mises à jour immédiatement. Exchange Server est principalement utilisé par des clients professionnels, et nous n’avons aucune preuve que les activités d’Hafnium ciblent le grand public ou que ces codes d’exploitation ont eu un impact sur d’autres produits Microsoft.
Même si nous avons rapidement réagi pour publier une mise à jour corrigeant les codes d’exploitation utilisés par Hafnium, nous savons que de nombreux autres acteurs étatiques ainsi que des groupes criminels vont bientôt essayer de tirer parti de tous les systèmes non patchés. Appliquer dès aujourd’hui les correctifs est la meilleure protection contre cette attaque.
Au-delà de la mise à disposition de correctifs de sécurité à nos clients, nous avons informé les organismes gouvernementaux américains référents de cette activité.
C’est la huitième fois au cours des 12 derniers mois que Microsoft dénonce publiquement des groupes liés à des Etats-nation ciblant des institutions essentielles à la société civile ; d’autres activités que nous avons précédemment dévoilées ont ciblé des organisations de soins de santé qui combattent la Covid-19, des campagnes politiques et d’autres personnes impliquées dans les dernières élections américaines de 2020, ainsi que des personnalités publiques dans le cadre de conférences internationales.
Nous sommes confortés par le fait que de nombreuses organisations partagent d’elles-mêmes ce type de données avec le reste du monde, entre elles ou avec des institutions gouvernementales de défense. Nous remercions les chercheurs de Volexity et de Dubex qui nous ont informés de certains aspects de cette nouvelle activité provenant d’Hafnium et qui ont travaillé avec nous pour y remédier de manière responsable. Nous avons besoin de partager rapidement plus d’informations concernant les cyberattaques pour permettre de mieux nous en défendre collectivement. C’est la raison pour laquelle le président de Microsoft Brad Smith a récemment déclaré au Congrès américain que nous devons prendre des mesures pour exiger la déclaration des cyber-incidents.
Les codes d’exploitation dont nous parlons aujourd’hui n’étaient en aucun cas liés aux attaques rattachées à SolarWinds. Nous n’avons encore aucun élément permettant d’affirmer que l’acteur derrière SolarWinds ait découvert ou exploité une quelconque vulnérabilité dans les produits et services Microsoft.
