Les hackers de SolarWinds sont de retour, ciblant 150 organisations, prévient Microsoft

Le groupe russe derrière le piratage de SolarWinds a lancé une nouvelle campagne qui semble cibler les agences gouvernementales, les groupes de réflexion et les organisations non gouvernementales, a déclaré Microsoft jeudi.

Nobelium a lancé les attaques actuelles après avoir eu accès à un service de marketing par e-mail utilisé par l’Agence des États-Unis pour le développement international, ou USAID, selon Microsoft.

«Ces attaques semblent être la continuation des efforts multiples de Nobelium pour cibler les agences gouvernementales impliquées dans la politique étrangère dans le cadre des efforts de collecte de renseignements», a écrit Tom Burt, vice-président de Microsoft pour la sécurité et la confiance des clients, dans un article de blog.

La campagne, que Microsoft a qualifiée d’incident actif, a ciblé 3000 comptes de messagerie dans 150 organisations, principalement aux États-Unis, a déclaré Burt. Mais les objectifs sont dans au moins 24 pays. Au moins un quart des organisations ciblées seraient impliquées dans des activités telles que le développement international et les droits de l’homme.

L’effort consistait à envoyer des e-mails de phishing qui semblaient légitimes mais conçus pour fournir des fichiers malveillants.

La société de cybersécurité Volexity, qui a également suivi la campagne mais a moins de visibilité sur les systèmes de messagerie que Microsoft, a écrit dans un article que des taux de détection relativement faibles des e-mails de phishing suggèrent que l’attaquant a «probablement réussi à violer des cibles», a rapporté Associated Press. .

Microsoft n’a pas précisé si ou combien de tentatives avaient réussi. Il a déclaré que de nombreux e-mails de la campagne à haut volume auraient été bloqués par des systèmes automatisés.

Lire aussi  Le président philippin Rodrigo Duterte annonce sa retraite de la politique

La campagne par e-mail se poursuit depuis au moins janvier et a évolué au fil des vagues, a déclaré Microsoft dans un article de blog séparé.

Microsoft a déclaré dans le blog de jeudi que le spear-phishing de Nobelium était récurrent. “Il est prévu que des activités supplémentaires puissent être menées par le groupe en utilisant un ensemble évolutif de tactiques”, a-t-il déclaré.

Nobelium, a déclaré Burt, a accédé au compte de l’USAID avec Constant Contact, un service de messagerie de masse.

Mercredi, des courriels censés ressembler à ceux de l’USAID ont été envoyés, y compris certains qui lisaient «alerte spéciale» et «Donald Trump a publié de nouveaux documents sur la fraude électorale», a déclaré Microsoft.

Le lien va finalement à l’infrastructure contrôlée par Nobelium, qui délivre un fichier malveillant. La livraison des fichiers malveillants permet à Nobelium “d’accéder de manière permanente aux machines compromises”, a déclaré Microsoft.

Burt a déclaré que Microsoft avait détecté l’attaque grâce au travail de son centre de renseignement sur les menaces dans le suivi des «acteurs des États-nations». Il a écrit que l’entreprise n’a aucune raison de croire qu’il existe une vulnérabilité dans ses produits ou services.

L’attaque SolarWinds, qui a été découverte à la fin de l’année dernière, impliquait le piratage de logiciels largement utilisés fabriqués par la société texane et a conduit à l’infiltration d’au moins neuf agences fédérales et des dizaines d’entreprises.

Le président de Microsoft, Brad Smith, l’a qualifiée de «l’attaque la plus importante et la plus sophistiquée que le monde ait jamais vue».

contribué.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Recent News

Editor's Pick