Microsoft dit que les pirates de SolarWinds ciblent désormais les agences gouvernementales et les ONG
Microsoft a observé le groupe derrière la tristement célèbre attaque de SolarWinds visant de nombreuses agences gouvernementales, groupes de réflexion, ONG, etc. Une nouvelle vague d'attaques du groupe de piratage, surnommé Nobelium, a ciblé des milliers de comptes de messagerie dans plus de 150 organisations.
Alors que la plupart des organisations sont situées aux États-Unis, les organisations de victimes couvrent 24 pays, avec de nombreuses cibles directement impliquées dans l'aide humanitaire, le travail en faveur des droits de l'homme et le développement international.
Microsoft confirme la nouvelle campagne de SolarWinds Hackers
Dans un article sur son blog Microsoft On the Issues , Tom Burt, vice-président de l'entreprise pour la sécurité et la confiance des clients, a confirmé et détaillé la dernière attaque de Nobelium.
Nobelium, originaire de Russie, est le même acteur derrière les attaques contre les clients de SolarWinds en 2020. Ces attaques semblent être la continuation des multiples efforts de Nobelium pour cibler les agences gouvernementales impliquées dans la politique étrangère dans le cadre des efforts de collecte de renseignements.
La dernière attaque a commencé avec l'accès de Nobelium à un compte de marketing par e-mail de l'USAID. À partir de là, les attaquants pourraient diffuser des e-mails de phishing ciblés contenant un lien malveillant. Une fois cliquée, la victime télécharge et installe NativeZone, une porte dérobée qui permet un accès et un contrôle étendus sur un ordinateur distant.
Selon le blog technique de Microsoft Threat Intelligence Center sur l'attaque, de nombreux e-mails malveillants envoyés ont peut-être été bloqués, étant marqués comme spam en raison du volume massif dans lequel ils ont été envoyés.
Cependant, ces systèmes ne sont pas infaillibles, et certains e-mails sont passés par des systèmes de détection automatique "soit en raison des paramètres de configuration et de stratégie, soit avant que les détections ne soient en place". Pourtant, Microsoft note que ses systèmes de sécurité bloquent les logiciels malveillants utilisés dans l'attaque.
Le blog Threat Intelligence Center contient également des informations sur le côté technique de l'attaque Nobelium et des logiciels malveillants en cours d'utilisation.
SolarWinds Attackers Nobelium Resurface
La résurgence de Nobelium est un signe inquiétant, notamment parce que les attaquants ont réussi à violer des réseaux de haut niveau et à accéder à des données critiques.
Comme Microsoft et d'autres grandes entreprises technologiques l'ont constamment déclaré, davantage d'actions contre les groupes de piratage des États-nations (parfois appelés APT) doivent venir des gouvernements. Ces énormes attaques ne ralentissent pas. Si quoi que ce soit, le taux de réussite encourage les attaquants à rechercher plus de cibles, en particulier à se diversifier dans des cibles qui peuvent avoir des protocoles de sécurité lâches en place.
Enfin, l'éventail des cibles est également préoccupant. Cibler les efforts humanitaires, les ONG et les militants des droits de l'homme montrent que cette forme d'attaque est devenue l'une des principales armes de choix de certains États-nations, utilisée pour saper ou détruire le travail en cours dans des zones critiques.