Les hackers russes de SolarWinds de retour sur l’attaque

Microsoft affirme avoir détecté une nouvelle vague de cyberattaques du même groupe soutenu par l'État derrière le piratage massif de SolarWinds

Microsoft affirme avoir détecté une nouvelle vague de cyberattaques du même groupe soutenu par l’État derrière le piratage massif de SolarWinds.

Le groupe russe soutenu par l’État derrière une campagne de piratage massive révélée l’année dernière est réapparu avec une série d’attaques contre des agences gouvernementales, des groupes de réflexion, des consultants et d’autres organisations, selon des responsables et des chercheurs.

Une mise à jour de sécurité de Microsoft jeudi soir a déclaré que le groupe connu sous le nom de Nobelium avait intensifié ses attaques, ciblant notamment les agences gouvernementales impliquées dans la politique étrangère dans le cadre des efforts de collecte de renseignements.

La Cybersecurity and Infrastructure Security Agency du gouvernement américain a publié un lien vers la mise à jour de Microsoft et a exhorté les administrateurs de réseau informatique à «appliquer les mesures d’atténuation nécessaires».

Microsoft a déclaré avoir détecté une campagne « sophistiquée » et à grande échelle qui diffusait des e-mails d’hameçonnage contenant des logiciels malveillants et permettant aux pirates d’obtenir des données protégées des victimes.

«Cette vague d’attaques a ciblé environ 3 000 comptes de messagerie dans plus de 150 organisations différentes», a déclaré le vice-président de Microsoft, Tom Burt, dans un article de blog.

La nouvelle intervient un mois après que Washington ait imposé des sanctions et expulsé des diplomates russes en réponse à l’implication de Moscou dans les attaques massives de l’année dernière contre SolarWinds, une société de logiciels de sécurité, ainsi qu’à l’ingérence électorale et à d’autres activités hostiles.

«Lorsqu’il est associé à l’attaque de SolarWinds, il est clair qu’une partie du livre de jeu de Nobelium est d’accéder à des fournisseurs de technologie de confiance et d’infecter leurs clients», a écrit Burt.

« En s’appuyant sur les mises à jour logicielles et désormais sur les fournisseurs de messagerie de masse, Nobelium augmente les risques de dommages collatéraux dans les opérations d’espionnage et mine la confiance dans l’écosystème technologique. »

Les nouvelles attaques ont permis aux pirates d’avoir accès aux serveurs de messagerie exploités par la société Constant Contact pour pouvoir usurper à l’Agence américaine pour le développement international et envoyer des e-mails en masse avec de la désinformation, selon la mise à jour.

Dans un exemple, des e-mails semblant provenir de l’USAID montraient une «alerte spéciale» indiquant que «Donald Trump a publié de nouveaux documents sur la fraude électorale».

Les utilisateurs qui ont cliqué sur le lien ont été dirigés vers un site proposant des logiciels malveillants et permettant aux pirates d’exfiltrer des données, selon Microsoft.

Le président américain Joe Biden (à gauche) doit rencontrer son homologue russe Vladimir Poutine le mois prochain au milieu des tensions croissantes entre les deux

Le président américain Joe Biden (à gauche) doit rencontrer son homologue russe Vladimir Poutine le mois prochain dans un contexte de tensions croissantes entre les deux pays.

L’attaque est en cours

« Cette attaque est toujours active, donc ces indicateurs ne doivent pas être considérés comme exhaustifs pour cette activité observée », a déclaré Microsoft dans sa mise à jour.

La société de sécurité Volexity, qui a également publié des recherches sur le piratage informatique, a déclaré qu’il semble que « l’attaquant réussisse probablement à percer des cibles ».

La société de sécurité a déclaré dans un article de blog: « Bien que Volexity ne puisse pas dire avec certitude qui est derrière ces attaques, elle pense qu’elle a les caractéristiques d’un acteur de menace connu auquel elle a eu à faire face à plusieurs reprises », citant un pirate informatique basé en Russie. grouper.

John Dickson de la société de sécurité Denim Group a déclaré que les dernières attaques suggèrent que les sanctions imposées par Washington sont insuffisantes.

« Je pense que les sanctions étaient un point de départ et nous devons les augmenter », a déclaré Dickson à l’AFP.

Dickson a déclaré que les diverses opérations de piratage depuis la Russie « sont toutes des itérations différentes des mêmes opérations d’information » avec l’approbation du Kremlin et « qu’elles le font sans crainte de représailles ».

L’année dernière, SolarWinds a révélé que jusqu’à 18 000 clients et plus de 100 entreprises américaines avaient été touchés par le piratage. Sa liste de clients comprend des agences gouvernementales et des entreprises parmi les 500 premières aux États-Unis.

Les pirates ont utilisé Orion pour entrer dans les réseaux, leur permettant de glisser des données et d’installer des codes malveillants qui servaient de «portes dérobées» pouvant être utilisées pour se faufiler dans les systèmes à volonté.

Washington a accusé la Russie d’avoir orchestré l’attaque en ligne, citant explicitement son service de renseignement extérieur (SVR).

La révélation du piratage survient alors que le président américain Joe Biden et le dirigeant russe Vladimir Poutine se préparent pour leur premier sommet le mois prochain à Genève.

La réunion du 16 juin comprendra des discussions sur « l’ensemble des questions urgentes, alors que nous cherchons à restaurer la prévisibilité et la stabilité des relations américano-russes », a déclaré le secrétaire de presse de la Maison Blanche, Jen Psaki, plus tôt cette semaine.


Microsoft dit que les pirates ont vu le code source, mais ne l’ont pas changé


© 2021 AFP

Citation: Les hackers russes de SolarWinds de retour sur l’attaque (2021, 28 mai) récupéré le 28 mai 2021 sur https://techxplore.com/news/2021-05-russian-hackers-solarwinds.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.