Recevez chaque jour toute l'actualité du numérique

x

Les hackers de SolarWinds à la tête d'une nouvelle série d'attaques, selon Microsoft

Nobelium serait à l'origine d'une nouvelle série d'attaques, selon Microsoft. Les hackers supposément russes, connus pour avoir attaqués SolarWinds, ont ciblé plus de 3 000 comptes de messagerie électronique appartenant à 150 organisations et de nombreuses agences américaines.
Twitter Facebook Linkedin Flipboard Email
×

Les hackers de SolarWinds à la tête d'une nouvelle série d'attaques, selon Microsoft
Les hackers de SolarWinds à la tête d'une nouvelle série d'attaques, selon Microsoft © Norton/Facebook

Une nouvelle série d'attaques serait menée par les hackers de SolarWinds. Le Microsoft Threat Intelligence Center (MSTIC) a rapporté, jeudi 27 mai 2021, avoir repéré une campagne d'envoi d'e-mails malveillants à grande échelle. Le groupe connu sous le nom de Nobelium serait à l'origine de cette offensive numérique qui a visé plus de 150 organisations, en concentrant ses efforts sur les agences gouvernementales américaines.

Plus de 3 000 adresses e-mails visées
L'équipe en cybersécurité de Microsoft explique suivre de près l'opération menée par Nobelium depuis janvier dernier. Celle-ci a évolué et s'est intensifié au cours des dernières semaines allant jusqu'à cibler plus de 3 000 adresses e-mails de personnes travaillant dans plus de 150 organisations à travers une campagne de phishing ou hameçonnage. Cette technique consiste à envoyer des e-mails en usurpant l'identité d'une organisation ou d'une entreprise connue pour inciter la victime à lui fournir des données personnelles ou bien à transmettre un logiciel malveillant pour accéder directement aux données des victimes.

Les hackers ont utilisé le service d'envoi massif de courriels, Constant Contact, et se sont fait passer pour l'Agence des États-Unis pour le développement international. Une stratégie qui leur a permis, entre autre, d'envoyer des URL malveillants à une grande variété d'organisations. Le groupe Nobelium a ciblé des organisations gouvernementales et non gouvernementales (ONG), des groupes de réflexion, des militaires, des fournisseurs de services informatiques et des services de santé.
 

Exemple d'un mail envoyé par les hackers. Source : Microsoft


24 pays visés
A la suite de l'attaque contre la suite logicielle Orion de SolarWinds révélée fin 2020, le gouvernement américain avait dressé un premier bilan de 9 agences fédérales et 100 entreprises touchées avec certitude. Pour cette nouvelle attaque, les victimes proviennent d'au moins 24 pays, bien que les organisations des Etats-Unis semblent être la cible principale.

Toutefois, en raison du volume élevé d'e-mails envoyés lors de cette campagne, les systèmes de sécurité ont bloqué la plupart des courriels, rassure le géant américain. Microsoft encourage tout de même les organisations à enquêter et à surveiller les communications ainsi qu'à prendre des mesures de protection spécifique, décrites sur son site. La mise en place d'une "porte dérobée peut permettre un large éventail d'activités allant du vol de données à l'infection d'autres ordinateurs ", rappelle l'entreprise.

La russie en ligne de mire
La société insiste sur l'intensification des attaques menées par Nobelium au cours des derniers mois, mais également sur la diversification des stratégies employées par les hackers. En effet, outre l'intégration d'URL malveillant dans les emails, les pirates informatiques ont également tenté de compromettre des systèmes entiers par le biais de fichiers HTML joints aux emails. Microsoft a ainsi dévoilé les quatre outils utilisés par Nobelium : EnvyScout, BoomBox, NativeZone et VaporRage.

Dans son billet de blog, Microsoft pointe du doigt la Russie. L'entreprise américaine rappelle ainsi qu'au plus fort de la pandémie de Covid-19, "les hackers russes Strontium avaient ciblé des organisations de santé impliquées dans les vaccins". De son côté, le chef des services d'espionnage russes a nié être responsable de la cyberattaque de SolarWinds, ajoutant être "flatté" que les Etats-Unis et la Grande-Bretagne puissent penser que les services russes soient à l'origine d'un piratage aussi sophistiqué, comme le rapporte Reuters.

Microsoft a indiqué "continuer à travailler avec les gouvernements et les entreprises qui le souhaitent pour faire avancer la paix numérique". La société prévoit davantage d'attaques à venir. "Nous pensons que Nobelium continuera à mûrir ses outils et tactiques pour cibler un public plus vaste", a-t-elle indiqué. Pour rappel, les codes sources de Microsoft Azure, Intune et Exchange, avaient également été ciblés par les hackers. La société avait alors indiqué que rien ne prouvait que les criminels ont eu accès "aux données clients". La société continue de suivre l'affaire de très près et assure "publier les nouvelles avancées de l'enquête dans les jours à venir sur son blog".

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.