Microsoft vient de communiquer sur le groupe lié à la Russie derrière l’attaque SolarWinds. Celui-ci est toujours actif et continue ses attaques sur la supply chain, mais vise une nouvelle cible : les revendeurs et autres intégrateurs.
En décembre 2020, Microsoft et FireEye révélaient une campagne d’espionnage de grande envergure. Exploitant une faille du logiciel Orion de SolarWinds, des milliers d’entreprises, et jusqu’à l’administration américaine et à une poignée d’éditeurs spécialisés en cybersécurité, en étaient victimes. Derrière cette attaque, un groupe baptisé Nobelium, lié aux services de renseignement russes.
On pourrait croire que depuis fin 2020, début 2021, cet acteur malveillant aurait cherché à se faire discret, mais non ! Microsoft nous apprend avoir repéré depuis mai 2021 une nouvelle campagne lancée par Nobelium. Celui-ci se livre toujours à de la « supply chain attack », visant la chaîne d’approvisionnement logicielle de ses victimes, mais s’est attaqué à une nouvelle cible.
14 revendeurs compromis
Selon Redmond, ce sont les revendeurs et les intégrateurs qui sont désormais les cibles du groupe russe. Qui a également changé de mode opératoire : il ne cherche plus des vulnérabilités à exploiter dans tel logiciel particulièrement répandu, mais procède par des techniques classiques, de la force brute au phishing afin d’obtenir des informations d'identification légitimes et des accès à privilége.
« Nous pensons que Nobelium espère en fin de compte se greffer sur tout accès direct que les revendeurs peuvent avoir aux systèmes informatiques de leurs clients et plus facilement usurper l'identité du partenaire technologique de confiance d'une organisation pour accéder à leurs clients en aval » écrit Microsoft.
L’éditeur explique avoir notifié depuis mai 140 revendeurs et fournisseurs de services ciblés par Nobelium et ajoute penser que 14 d’entre eux ont été compromis. Au total, ce sont 609 clients de Microsoft qui ont été attaqués 22 868 fois par Nobelium, avec un taux de réussite de l'ordre de 10 %. « Cette activité récente est un autre indicateur que la Russie essaie d'obtenir un accès systématique à long terme à divers points de la chaîne d'approvisionnement technologique et d'établir un mécanisme de surveillance - maintenant ou à l'avenir - des cibles d'intérêt pour le gouvernement russe » estime Microsoft.