Microsoft découvre une nouvelle activité du groupe de hackers russe Nobelium
Français
Microsoft a identifié la dernière activité de Nobelium, l’acteur de l’État-nation russe à l’origine de l’attaque SolarWinds en 2020. Nobelium tente de reproduire la même approche et aurait ciblé des centaines d’organisations américaines lors de sa dernière vague d’attaques.
“Nous avons découvert cette campagne à ses débuts, et nous partageons ces développements pour aider les revendeurs de services cloud, les fournisseurs de technologies et leurs clients à prendre des mesures opportunes pour s’assurer que Nobelium n’a pas plus de succès”, a déclaré Microsoft dans un communiqué officiel.
Anciennes tactiques, nouvelles cibles
Microsoft a observé que Nobelium utilisait ses anciennes techniques d’attaque pour cibler les organisations faisant partie intégrante des chaînes d’approvisionnement informatiques mondiales, y compris les revendeurs et autres fournisseurs de services technologiques qui personnalisent, déploient et gèrent les services cloud et d’autres technologies. Selon les rapports, les opérateurs Nobelium tentent d’obtenir un accès direct que les revendeurs peuvent avoir aux systèmes informatiques de leurs clients. Actif depuis mai 2021, le groupe a ciblé plus de 140 revendeurs et fournisseurs de services technologiques aux États-Unis, et environ 14 revendeurs et fournisseurs de services ont été compromis.
Les attaques récentes n’ont exploité aucune vulnérabilité dans le logiciel, ont plutôt utilisé des techniques de pulvérisation de mots de passe et de phishing pour voler les identifiants de connexion et obtenir un accès privilégié.
« Nous nous sommes également coordonnés avec d’autres membres de la communauté de la sécurité pour améliorer nos connaissances et nos protections contre l’activité de Nobelium, et nous avons travaillé en étroite collaboration avec les agences gouvernementales aux États-Unis et en Europe. Bien que nous sachions clairement que les États-nations, y compris la Russie, n’arrêteront pas de telles attaques du jour au lendemain, nous pensons que des mesures telles que le décret exécutif sur la cybersécurité aux États-Unis et la coordination et le partage d’informations accrus que nous avons observés entre l’industrie et le gouvernement en ces deux dernières années, nous ont tous mis dans une bien meilleure position pour nous défendre contre eux », a ajouté Microsoft.
Perspective
Malgré plusieurs initiatives de cybersécurité, les pirates informatiques russes continuent de cibler les infrastructures critiques aux États-Unis. Cependant, plusieurs experts en cybersécurité estiment que ces types d’attaques peuvent être évités si les fournisseurs de services cloud mettent en œuvre des mesures de cybersécurité robustes.
Commentant la dernière cybercampagne, Amit Yoran, PDG de Tenable, a déclaré : « Ceux qui pensaient que SolarWinds était une attaque unique n’ont pas vu l’écriture sur le mur. Sans surprise, les cybercriminels à l’origine de la fameuse brèche recommencent. Cette fois, ils ciblent les revendeurs de services cloud Microsoft via une attaque simple mais à grande échelle. Les attaques étaient évitables si les entreprises avaient mis en œuvre des mesures d’hygiène de base telles que l’application de l’authentification multifacteur, la mise en œuvre de politiques de mot de passe solides et la mise en place d’une gestion des accès robuste.
« Encore une fois, nous ne voyons pas de techniques super sophistiquées et inédites derrière une cyberattaque majeure. Ce sont les bases qui font encore trébucher les organisations. Ce qui est un développement relativement nouveau au cours des 12 derniers mois est une focalisation stratégique et continue sur la chaîne d’approvisionnement des logiciels. Cela parle directement des problèmes de sécurité de la chaîne d’approvisionnement béants que SolarWinds a attirés à l’attention – cassez un seul maillon de la chaîne et vous pouvez abattre toute la clôture. »
