En juillet, Microsoft détaillait une campagne malveillante ayant conduit au piratage de 25 victimes, parmi lesquelles des agences gouvernementales américaines. La firme revient avec de nouvelles informations, où l’on apprend que l’opération était de haut vol et a fait le lien entre plusieurs incidents séparés.
Le 11 juillet dernier, Microsoft a publié deux billets de blogs (ici et là). Ils faisaient suite à la découverte d’une opération menée par un groupe malveillant chinois nommé Storm-0558. Au cours de cette campagne, qui a pris place du 15 mai au 16 juin, 25 organisations ont été ciblées avec succès, avec à la clé des vols d’informations. Microsoft ajoutait que, comme pour toute attaque impliquant un acteur malveillant soutenu par un État, les clients touchés avaient été avertis.
La détection de l’attaque a eu lieu le 16 juin. L’entreprise indiquait alors avoir « identifié la cause première, mis en place un suivi durable de la campagne, interrompu les activités malveillantes, renforcé l’environnement, notifié tous les clients concernés et coordonné l’action avec de nombreuses entités gouvernementales ».
Ce que l’on savait en juillet
Selon les informations découvertes il y a quelques mois, il est estimé avec une « assurance modérée » que Storm-0558 est un groupe malveillant chinois à part, malgré quelques recoupements avec d’autres groupes chinois, tels que Violet Typhoon.
Storm-0558 vise prioritairement des personnes ou entités diplomatiques, économiques et législatives, malgré un certain intérêt pour les groupes médias, les think tanks, ainsi que les fournisseurs d’équipements de télécommunications et de services.
Toujours selon Microsoft, le but de ces campagnes est d’obtenir, le plus souvent, des identifiants. Ces derniers sont récupérés via des campagnes de phishing ou des attaques sur des jetons OAuth. L’obtention des identifiants permet ensuite le vol de données.