L'outil collaboratif Teams de Microsoft est fort pratique pour organiser des réunions virtuelles et améliorer la productivité des entreprises mais il peut aussi devenir à l'occasion un outil exploité par des puissances étrangères pour obtenir des informations et des identifiants.

La firme de Redmond indique avoir identifié des dizaines de tentatives de phishing menés par des hackers liés au gouvernment russe. Le service Microsoft Threat Intelligence les a identifiés comme étant le groupe Midnight Blizzard (précédemment Nobelium) et réalisant du social engineering pour obtenir des informations sensibles ou des accès aux réseaux d'entreprises.

Déborder les défenses du MFA

Les hackers créent des noms de domaine et des comptes ressemblant à un support technique pris à des entreprises utilisant le service Microsoft 365 et contactent leurs cibles par chat. Ils les incitent à révéler leurs identifiants dans le cadre d'une authentification multifacteurs (MFA), notamment pour obtenir le code de double authentification de l'application Microsoft Authenticator.

Le hacker obtient alors un token d'authenfication lui permettant d'accéder au compte Microsoft 365 de sa cible.

Capture d'écran d'une demande de chat orchestrée par Midnight Blizzard (credit : Microsoft)

L'enquête suggère que la campagne de phishing a concerné moins d'une quarantaine d'entreprises mondiales avec des profils ciblant des organisations non gouvernementales, des services IT, des entreprises high-tech, de production ou du secteur des médias.

Encore Midnight Blizzard

Microsoft Threat Intelligence relève que Midnight Blizzard est un groupe actif associé au SVR, service de renseignement russe opérant à l'extérieur et visant habituellement des gouverments, des diplomates et des entreprises high-tech, avec pour mission de récupérer de l'information et d'espionner.

Il est actif depuis au moins 2018 et opère en passant par des comptes authentiques mais compromis et en contournant les cyberdéfenses des organisations et entreprises pour s'infiltrer au coeur des réseaux  le plus discrètement possible.

Midnight Blizzard est aussi connu sous les dénominations APT29, UNC2454 ou Cozy Bear, à l'origine de multipes cyberattaques ciblant d'abord les Etats-Unis mais aussi d'autres pays dans le monde.