Les hackers de SolarWinds à la tête d'une nouvelle série d'attaques, selon Microsoft

Nobelium serait à l'origine d'une nouvelle série d'attaques, selon Microsoft. Les hackers supposément russes, connus pour avoir attaqués SolarWinds, ont ciblé plus de 3 000 comptes de messagerie électronique appartenant à 150 organisations et de nombreuses agences américaines.

Partager
Les hackers de SolarWinds à la tête d'une nouvelle série d'attaques, selon Microsoft

Une nouvelle série d'attaques serait menée par les hackers de SolarWinds. Le Microsoft Threat Intelligence Center (MSTIC) a rapporté, jeudi 27 mai 2021, avoir repéré une campagne d'envoi d'e-mails malveillants à grande échelle. Le groupe connu sous le nom de Nobelium serait à l'origine de cette offensive numérique qui a visé plus de 150 organisations, en concentrant ses efforts sur les agences gouvernementales américaines.

Plus de 3 000 adresses e-mails visées
L'équipe en cybersécurité de Microsoft explique suivre de près l'opération menée par Nobelium depuis janvier dernier. Celle-ci a évolué et s'est intensifié au cours des dernières semaines allant jusqu'à cibler plus de 3 000 adresses e-mails de personnes travaillant dans plus de 150 organisations à travers une campagne de phishing ou hameçonnage. Cette technique consiste à envoyer des e-mails en usurpant l'identité d'une organisation ou d'une entreprise connue pour inciter la victime à lui fournir des données personnelles ou bien à transmettre un logiciel malveillant pour accéder directement aux données des victimes.

Les hackers ont utilisé le service d'envoi massif de courriels, Constant Contact, et se sont fait passer pour l'Agence des États-Unis pour le développement international. Une stratégie qui leur a permis, entre autre, d'envoyer des URL malveillants à une grande variété d'organisations. Le groupe Nobelium a ciblé des organisations gouvernementales et non gouvernementales (ONG), des groupes de réflexion, des militaires, des fournisseurs de services informatiques et des services de santé.

Exemple d'un mail envoyé par les hackers. Source : Microsoft


24 pays visés
A la suite de l'attaque contre la suite logicielle Orion de SolarWinds révélée fin 2020, le gouvernement américain avait dressé un premier bilan de 9 agences fédérales et 100 entreprises touchées avec certitude. Pour cette nouvelle attaque, les victimes proviennent d'au moins 24 pays, bien que les organisations des Etats-Unis semblent être la cible principale.

Toutefois, en raison du volume élevé d'e-mails envoyés lors de cette campagne, les systèmes de sécurité ont bloqué la plupart des courriels, rassure le géant américain. Microsoft encourage tout de même les organisations à enquêter et à surveiller les communications ainsi qu'à prendre des mesures de protection spécifique, décrites sur son site. La mise en place d'une "porte dérobée peut permettre un large éventail d'activités allant du vol de données à l'infection d'autres ordinateurs ", rappelle l'entreprise.

La russie en ligne de mire
La société insiste sur l'intensification des attaques menées par Nobelium au cours des derniers mois, mais également sur la diversification des stratégies employées par les hackers. En effet, outre l'intégration d'URL malveillant dans les emails, les pirates informatiques ont également tenté de compromettre des systèmes entiers par le biais de fichiers HTML joints aux emails. Microsoft a ainsi dévoilé les quatre outils utilisés par Nobelium : EnvyScout, BoomBox, NativeZone et VaporRage.

Dans son billet de blog, Microsoft pointe du doigt la Russie. L'entreprise américaine rappelle ainsi qu'au plus fort de la pandémie de Covid-19, "les hackers russes Strontium avaient ciblé des organisations de santé impliquées dans les vaccins". De son côté, le chef des services d'espionnage russes a nié être responsable de la cyberattaque de SolarWinds, ajoutant être "flatté" que les Etats-Unis et la Grande-Bretagne puissent penser que les services russes soient à l'origine d'un piratage aussi sophistiqué, comme le rapporte Reuters.

Microsoft a indiqué "continuer à travailler avec les gouvernements et les entreprises qui le souhaitent pour faire avancer la paix numérique". La société prévoit davantage d'attaques à venir. "Nous pensons que Nobelium continuera à mûrir ses outils et tactiques pour cibler un public plus vaste", a-t-elle indiqué. Pour rappel, les codes sources de Microsoft Azure, Intune et Exchange, avaient également été ciblés par les hackers. La société avait alors indiqué que rien ne prouvait que les criminels ont eu accès "aux données clients". La société continue de suivre l'affaire de très près et assure "publier les nouvelles avancées de l'enquête dans les jours à venir sur son blog".

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS