Vaste campagne de cyberespionnage russe via Microsoft Team

Un groupe de cybercriminels affiliés au Kremlin a orchestré une vaste campagne de cyberespionnage, piégeant de nombreuses organisations internationales, y compris des agences gouvernementales

Le 2 août 2023, Microsoft a publié un rapport détaillant une campagne de phishing et de cyberespionnage menée par un groupe de cybercriminels étatiques russes à l’aide de Microsoft Teams. Ce groupe, connu sous le nom de Cozy Bear (ou Midnight Blizzard), est déjà connu pour sa participation à la spectaculaire cyberattaque SolarWind. La campagne en question a été lancée en mai 2023 et s’est poursuivie jusqu’à récemment.

Le mode opératoire suit un schéma classique. Les attaquants ont commencé par viser de simples employés du service d’assistance par visioconférence de Microsoft Team, afin de prendre le contrôle de leurs comptes. Ils ont ensuite utilisé ces accès pour envoyer des messages d’hameçonnage aux cibles de leur campagne, les invitant à se rendre sur de fausses pages de connexion.

Cozy Bear a réussi à obtenir non seulement les identifiants des victimes, mais aussi les codes de double authentification, leur permettant ainsi d’accéder aux comptes ciblés. D’après Microsoft, cette attaque a touché près de 40 organisations dans le monde. Parmi les victimes figurent des agences gouvernementales, des ONG, des entreprises de technologies, des services informatiques et des médias.

Le rapport n’en nomme aucune, mais précise que leur nature renseigne sur les « objectifs d’espionnage spécifiques » du groupe étatique russe.