Les pirates de Midnight Blizzard ont mené une série de cyberattaques au cours de l’été. Les opérations orchestrées par les pirates russes, mandatés par les services de renseignement de Moscou, ont été découvertes par les chercheurs d’Amazon.
Comme l’expliquent les experts dans un rapport publié ce 29 aout 2025, le gang russe s’est mis à compromettre des sites web dans l’espoir de piéger une grande quantité d’internautes. Les cybercriminels ont compromis les serveurs EC2 d’Amazon Web Services (AWS) pour mener leurs attaques. Ils ont ensuite injecté des scripts JavaScript à l’insu des administrateurs.
Une fois les sites web piratés, les hackers s’en sont servis pour rediriger les visiteurs vers des pages malveillantes. Le gang a en effet mis au point des pages de vérification Cloudflare factices taillées pour dérober les données personnelles des visiteurs. Avec ces pages, les pirates visent surtout à pénétrer sur le compte Microsoft des usagers. Les fausses pages Cloudflare servent surtout à mettre la victime en confiance avant de lui réclamer une information sensible.
À lire aussi : TeamViewer a été piraté par les hackers russes de Midnight Blizzard
Une attaque contre des comptes Microsoft
En fait, les pirates s’attaquent au flux d’authentification du code de l’appareil de Microsoft, un système qui permet de se connecter à un compte Microsoft depuis un appareil qui n’a pas de navigateur, comme une TV. Ce système consiste à afficher un code sur l’écran. Le code doit être fourni à Microsoft afin que l’appareil soit autorisé à accéder au compte.
Pour duper les internautes, les pages malveillantes affichent un code de sécurité à l’écran. L’internaute est invité à entrer ce code sur le site officiel de Microsoft, en prétextant tout et n’importe quoi. Quand l’internaute s’exécute, l’appareil contrôlé par les pirates est autorisé par Microsoft. Il peut donc accéder au compte. L’attaquant bénéficie d’un accès complet au compte Microsoft de la victime, sans avoir besoin du mot de passe ou du moindre identifiant. L’astuce permet aussi de contourner l’authentification à deux facteurs.
Amazon court-circuite l’infrastructure de Midnight Blizzard
Environ 10 % des visiteurs des sites web compromis ont été efficacement redirigés sur des sites web factices à l’effigie de Cloudflare, mais contrôlés par les pirates, indique Amazon. Après avoir découvert les activités de Midnight Blizzard, Amazon a décidé d’agir en partenariat avec Cloudflare. Le géant américain du commerce a coupé les serveurs compromis, tandis que Cloudflare a pu désactiver les noms de domaine que les pirates utilisaient pour rediriger les victimes.
Dos au mur, les pirates de Midnight Blizzard ont tenté de déplacer leur infrastructure vers un autre fournisseur de cloud pour poursuivre leurs attaques. Amazon et Cloudflare sont parvenus à bloquer leurs nouveaux domaines avant que l’activité ne puisse repartir de plus belle.
Le gang russe multiplie les cyberattaques, particulièrement en Europe, depuis le début de l’année. Selon les chercheurs de Check Point, le groupuscule orchestre surtout des opérations de cyberespionnage à l’encontre d’entités diplomatiques européennes. Leur but est de récolter des informations confidentielles pour le compte du Kremlin.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Amazon
