Posté le juin 26, 2021 à 9:31
LE GROUPE DE MENACES SOLARWIND IMPLIQUÉ DANS DES ATTAQUES CONTRE LE SERVICE CLIENTÈLE DE MICROSOFT
Microsoft a signalé que des acteurs malveillants ont compromis l’appareil d’un agent de son service clientèle pour lancer des attaques contre ses clients.
Le géant de la technologie a déclaré que certains de ses outils de support client ont été infiltrés par un groupe de menaces connu sous le nom de Nobelium, qui est lié aux attaques de SolarWinds.
Selon Microsoft, les attaquants ont pu compromettre certains des appareils après avoir obtenu l’accès à l’ordinateur d’un agent du service clientèle.
L’agent n’avait pas un accès complet aux systèmes, mais il a pu accéder à des informations telles que les coordonnées de facturation des clients et les services qu’ils utilisaient.
Les acteurs de la menace ont utilisé les informations recueillies grâce à ces outils pour lancer des attaques « très ciblées » sur certains clients de Microsoft.
Une partie d’une vaste campagne de piratage
Microsoft affirme que l’attaque fait partie d’une vaste campagne de piratage lancée par la campagne Nobelium, qui vise les gouvernements et les entreprises du monde entier.
L’entreprise a réaffirmé qu’elle avait contacté les clients touchés par l’incident et qu’elle avait bloqué l’accès à l’appareil compromis de l’agent du service clientèle.
Microsoft a mis l’accent sur la sécurité alors qu’elle se prépare à sortir son Windows 11. Elle prend au sérieux la protection des appareils des utilisateurs en faisant valoir la nécessité de disposer d’un matériel spécifique lors d’une mise à niveau vers une version supérieure de Microsoft. De cette façon, il sera plus difficile pour les acteurs de la menace d’avoir un quelconque contrôle sur les systèmes à distance.
Microsoft affirme qu’elle suit toujours les activités des hackers et a révélé que leur attaque contre ses clients a été largement infructueuse.
Les acteurs de la menace ont largement échoué
La société a réaffirmé que les acteurs de la menace n’ont pas pu compromettre la plupart de leurs cibles après avoir réussi à infiltrer trois organisations.
Cependant, le rapport ne contient pas les noms des trois organisations compromises. Il ne précise pas non plus si les acteurs de la menace ont réussi à obtenir leurs informations à partir de l’appareil compromis de l’agent du service clientèle.
Mais le géant de la technologie a admis que l’appareil avait accès à certains détails d’un petit nombre de clients et que les acteurs de la menace ont exploité ces informations pour lancer leurs attaques.
Dans le cadre de son enquête, Microsoft dit avoir découvert un logiciel malveillant de vol d’informations sur les appareils de l’agent de support client.
Microsoft déclare qu’elle continue d’enquêter sur la situation pour comprendre la méthode d’attaque déployée par l’acteur de la menace.
Microsoft a déclaré que sa réponse rapide a empêché les attaquants de prendre un accès considérable aux données des clients. Elle a également informé d’autres cibles par le biais de son processus de notification des États-nations. Les autorités américaines ont établi un lien entre la Russie et l’attaque de SolarWinds, après avoir précédemment établi un lien entre Nobelium et l’agence de renseignement russe.
Microsoft a découvert le mois dernier que les mêmes acteurs malveillants ont mené une campagne avancée de harponnage par courriel auprès de grandes entreprises, d’organisations non gouvernementales et d’organismes gouvernementaux.
La plupart des cibles sont basées aux États-Unis
La société a noté que le groupe de menace a envoyé des courriels contenant des logiciels malveillants aux cibles après avoir compromis le service de publipostage utilisé par l’USAID.
Mais cette nouvelle campagne est légèrement différente en ce qui concerne les cibles. Si elle vise toujours les ONG et les organisations gouvernementales, elle se concentre davantage sur les entreprises informatiques.
Et comme d’autres campagnes antérieures, le groupe de menaces Nobelium a ciblé des organisations et des entreprises basées aux États-Unis. Si 30 % des cibles sont basées au Canada, en Allemagne et au Royaume-Uni, 70 % des cibles se trouvent aux États-Unis.
Par ailleurs, Microsoft n’a pas précisé si l’agent était un employé direct de l’entreprise ou un contractant.
Les clients sont invités à adopter l’authentification multifactorielle
Nobelium a accédé au système de l’agent au cours de la deuxième semaine de mai, sur la base de l’avis d’alerte reçu par les clients concernés de Microsoft.
Dans son avertissement, la société a demandé à ses clients de se méfier des communications impliquant des contacts de facturation. Elle a également conseillé aux utilisateurs de modifier leurs noms d’utilisateur et leurs mots de passe pour éviter d’être victimes de l’attaque. En outre, Microsoft a demandé aux utilisateurs d’activer l’authentification multifactorielle pour offrir plus de sécurité à leurs appareils.
Ils doivent également utiliser les meilleures pratiques en matière de sécurité, telles que l’architecture « zéro confiance », qui traite tous les utilisateurs comme des menaces potentielles jusqu’à ce que leurs coordonnées soient correctement enregistrées.
En outre, Microsoft a ajouté une nouvelle fonction de sécurité, appelée TPM, sur son prochain Windows 11 dont la sortie est prévue plus tard cette année.