Posté le octobre 26, 2021 à 20:49
MICROSOFT AFFIRME QUE LES HACKERS DE SOLARWINDS LANCENT DE NOUVELLES SÉRIES D’ATTAQUES
Microsoft a émis un avertissement concernant les récentes activités du groupe de hackers Nobelium, responsable de l’incident SolarWinds l’année dernière. Selon le géant technologique, le groupe a ciblé environ 140 fournisseurs de services technologiques et revendeurs dans les chaînes d’approvisionnement informatiques mondiales.
Le groupe de hackers vise spécifiquement les fournisseurs qui offrent des services personnalisés, de déploiement et de gestion du cloud.
Les chercheurs de Microsoft ont noté que les hackers cherchent à accéder aux clients en aval des organisations via les systèmes informatiques de leurs partenaires.
Nobelium est connu sous de nombreux autres noms, notamment StellarParticle, SolarStorm, Dark Hello et UNC2452. On pense que le groupe de hackers est parrainé par le gouvernement russe.
Le groupe de hackers a été relié aux services de renseignement russes appelés SVR. Il a l’habitude de lancer des cyberattaques contre des organisations essentielles à la chaîne d’approvisionnement informatique mondiale.
Le vice-président de la sécurité des clients de Microsoft, Tom Burt, a confirmé les récentes activités du groupe. Selon lui, le groupe a déjà lancé une attaque contre 140 fournisseurs de services informatiques. Il a également réussi à compromettre 14 d’entre eux, cinq mois après le début de la nouvelle campagne.
Le groupe de hackers change de préférence
Nobelium est connu pour sa préférence pour l’exploitation des vulnérabilités logicielles. Cependant, dans sa dernière attaque, le groupe a décidé d’exploiter d’autres méthodes d’attaque plus populaires. Le groupe utilise des méthodes telles que les abus d’API, la pulvérisation de mots de passe et le phishing, ainsi que le vol de jetons pour obtenir un accès non autorisé aux réseaux des victimes.
Selon Microsoft, le groupe a tenté plus de 23 000 piratages entre le 1er juillet et le 19 octobre 2021. Ses chercheurs ont déclaré que le groupe de hackers est toujours actif et qu’il cherche à infiltrer autant de systèmes informatiques de clients qu’il le peut.
La Russie cherche à obtenir un accès à long terme
Microsoft a révélé que les attaques contre ces organisations montrent que le gouvernement russe veut obtenir un accès systématique et à long terme à la chaîne d’approvisionnement en technologies. Il souhaite également mettre en place un système permettant de surveiller les cibles présentant un intérêt pour le gouvernement.
Mais Microsoft a déclaré que les activités du groupe ont été découvertes au stade précoce de leur infiltration, ce qui a permis de réduire les dégâts. Les chercheurs ont déclaré vouloir donner des conseils et partager le développement pour aider les fournisseurs de technologie et les revendeurs de services. Cela, selon les chercheurs, les aidera à prendre les mesures nécessaires pour s’assurer que les hackers ne réussissent pas dans leurs plans.
Microsoft a également publié des détails sur les mesures prises par le groupe Nobelium pour naviguer sur les réseaux et infiltrer les comptes des clients.
Ilia Kolochenko, du Réseau européen d’experts en protection des données, a noté que les hackers n’en ont pas encore fini avec les attaques de la chaîne d’approvisionnement. Il a ajouté qu’elles se poursuivront probablement jusqu’en 2022, la majorité des attaquants ciblant les fournisseurs qui sont les plus vulnérables.
Contrairement aux attaques directes sur les clients en aval, les attaques de la chaîne d’approvisionnement sont généralement plus dissimulées et plus rapides. Dans la plupart des cas, il est difficile de remarquer l’attaque avant que les hackers n’aient causé plusieurs dommages et infiltré les systèmes des organisations.
En outre, les fournisseurs peuvent disposer de données plus importantes que les victimes, ce qui rend leur attaque plus lucrative. Par exemple, les fournisseurs peuvent stocker plus de données dans des sauvegardes, ce qui n’est pas prévu ou autorisé par le contrat.
Les entreprises sont invitées à se protéger
Le président de Cybereason Government Inc, Sam Curry, a ajouté que le rapport de Microsoft était complet. Il a déclaré que les entreprises en danger devraient faire le nécessaire pour éviter d’être victimes de la dernière attaque du dangereux groupe Nobelium.
Microsoft a suggéré des méthodes que les organisations peuvent utiliser pour se protéger contre cette attaque. Il a déclaré que les attaques en aval profitent des logiciels de confiance pour lancer leur attaque. Le logiciel vulnérable est activé à son insu par l’infiltration d’identité en amont. Par conséquent, les entreprises devraient commencer à nettoyer la méthodologie en amont de Nobelium, qui a touché à la fois Microsoft et SolarWinds au cours des deux dernières années.
L’attaque de SolarWinds a été bien documentée après avoir touché de grandes organisations et institutions en décembre 2020.
La cybercampagne massive a touché la NTIA et le département du Trésor américain. Les hackers ont réussi à compromettre Orion, le logiciel de surveillance du réseau de SolarWinds. Le réseau était utilisé par plusieurs entreprises privées et services gouvernementaux.
Après avoir obtenu l’accès, les hackers ont inséré un code malveillant dans la mise à jour authentique du logiciel Orion, qui a été téléchargée par les victimes et a donné aux hackers un accès direct.
L’effet d’entraînement de l’attaque sur plusieurs agences gouvernementales en a fait l’une des cyberattaques les plus notoires que le monde ait jamais connues.
Le gouvernement américain a pointé du doigt la Russie, mais celle-ci a nié avoir un quelconque lien avec les hackers.