Posté le mai 28, 2021 à 18:50
MICROSOFT DÉCOUVRE UNE NOUVELLE CAMPAGNE DE PIRATAGE D’AGENCES PAR LES HACKERS DE SOLARWINDS
Microsoft a révélé que des hackers soupçonnés d’avoir des liens avec le gouvernement russe ont attaqué des agences gouvernementales et des groupes de défense des droits de l’homme.
Tom Burt, vice-président de Microsoft, a révélé l’incident de piratage dans un billet de blog, précisant qu’il visait environ 3 000 adresses électroniques dans 24 pays différents. Il a également souligné que plus de 150 organisations impliquées dans le travail humanitaire et le développement international ont également été visées.
Campagne liée aux hackers de SolarWinds
Microsoft a révélé dans un autre billet de blog que la campagne de piratage est toujours en cours et qu’elle est menée par le biais de plusieurs vagues de campagnes de spear-phishing. La campagne a été découverte en janvier, mais elle s’est étendue à des milliers d’adresses électroniques cette semaine.
Elle survient quelques semaines après l’attaque par ransomware de Colonial Pipeline, qui a mis hors service le plus grand réseau de pipelines de carburant du pays pendant plusieurs jours.
Ce n’est pas la première fois qu’une campagne de piratage vise de grandes organisations américaines. Un autre incident notable est le piratage de SolarWinds qui a débuté en mars de l’année dernière. Lors de ce piratage, un code malveillant a été inséré dans les mises à jour du logiciel Orion, permettant à des hackers d’élite d’accéder aux réseaux des organisations.
La campagne a également touché pas moins de 9 agences gouvernementales américaines, selon le rapport. Les acteurs malveillants ont mené leur campagne tout au long de l’année dernière avant d’être découverts par la société de sécurité FireEye en décembre.
Mais cette nouvelle campagne de piratage est facile à détecter, selon les chercheurs en cybersécurité. Microsoft a également indiqué les deux méthodes de distribution utilisées dans les attaques. Alors que SolarWinds s’est concentré sur la chaîne d’approvisionnement des mises à jour logicielles d’un fournisseur de technologie, la nouvelle campagne s’est appuyée sur un fournisseur d’e-mails de masse.
Selon Microsoft, la similitude entre l’attaque de SolarWinds et la récente attaque est le fait que les deux actions ont ébranlé la confiance dans l’écosystème technologique.
Les incidents de piratage seront probablement discutés à Genève
Brad Smith, président de Microsoft, a qualifié l’attaque de SolarWinds de plus complexe et de plus importante attaque contre des entreprises que le monde n’ait jamais connue. Elle a été imputée à des acteurs étatiques, notamment des Russes. Toutefois, le chef des services d’espionnage russes a récemment démenti cette accusation en déclarant qu’il était « flatté » par les accusations d’implication des services de renseignement russes dans une attaque d’une telle ampleur.
La dernière cyberattaque a été découverte quelques semaines à peine avant que le président américain Joe Biden ne soit censé assister au sommet de Genève en présence du président russe Vladimir Poutine. Le président Biden devrait aborder une liste de questions avec le président russe, et cet incident pourrait bien s’ajouter à cette liste.
De nouvelles sanctions contre la Russie ?
Le mois dernier, le président Biden a annoncé de nouvelles sanctions à l’encontre de la Russie et a expulsé les diplomates du pays, en guise d’action contre le piratage de SolarWinds.
Microsoft n’a pas fourni de détails supplémentaires sur l’intrusion de Nobelium et n’a pas indiqué si elle avait réussi. Mais il a déclaré que la campagne consistait à envoyer des courriels d’hameçonnage qui se font passer pour des courriels authentiques, mais qui contiennent en réalité des fichiers dangereux.
L’attaque semblait viser des agences, des cabinets de conseil et des groupes de réflexion américains et internationaux qui ont exprimé leur dédain à l’égard du traitement réservé par la Russie aux militants pour la démocratie.
La société de cybersécurité Volexity, qui a également suivi la campagne, a déclaré que les courriels de phishing ont des taux de détection relativement faibles. La société a révélé que les acteurs malveillants ont peut-être réussi à atteindre des cibles.
Microsoft a mis en évidence l’une des attaques de phishing dans un courriel qui semble provenir de l’Agence des États-Unis pour le développement international (USAID), une agence indépendante.
L’USAID n’était pas disponible pour commenter la violation. De même, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a été contactée, mais elle n’a pas pu être jointe non plus.
Les États-Unis sont confrontés depuis peu à une recrudescence des cyberattaques contre leur secteur privé et leurs infrastructures critiques. Cette recrudescence d’attaques d’États-nations a suscité l’inquiétude de différents milieux, certains réclamants davantage de sanctions contre la Russie, qui serait à l’origine des attaques massives.
M. Burt a déclaré que la nouvelle campagne semble être la continuation des efforts de collecte de renseignements du gouvernement russe. Il a ajouté que les hackers ciblent généralement des organisations impliquées dans la politique étrangère, mais que leur motif n’est pas connu.
