Certains articles de veille peuvent faire l'objet de traduction automatique.
Les hackers russes qui a violé le logiciel de gestion informatique SolarWinds pour compromettre un un grand nombre d’agences gouvernementales et d’entreprises des États-Unis sont de nouveau sous les feux de la rampe. Microsoft a déclaré jeudi que le même groupe d’espionnage « Nobelium » a mis en place une campagne de phishing agressive depuis janvier de cette année et l’a considérablement intensifiée cette semaine, ciblant environ 3 000 personnes dans plus de 150 organisations dans 24 pays.
Cette révélation a fait grand bruit, mettant en évidence les campagnes d’espionnage numérique continues et invétérées de la Russie. Mais il n’y a rien de choquant à ce que la Russie en général, et les pirates de SolarWinds en particulier, aient continué à espionner même après la révélation de l’incident. Les États-Unis ont imposé des sanctions de rétorsion en avril. Et par rapport à SolarWinds, une campagne de phishing semble tout à fait ordinaire.
« Je ne pense pas qu’il s’agisse d’une escalade, je pense que c’est du business comme d’habitude », déclare John Hultquist, vice-président de l’analyse des renseignements à la société de sécurité FireEye, qui a été la première à découvrir les intrusions de SolarWinds. « Je ne pense pas qu’ils soient dissuadés et je ne pense pas qu’ils soient susceptibles d’être dissuadés ».
La dernière campagne de la Russie mérite certainement d’être signalée. Nobelium a compromis des comptes légitimes du service d’envoi d’emails en masse Constant Contact, dont celui de l’Agence américaine pour le développement international. À partir de là, les pirates, qui seraient des membres de l’agence russe de renseignement extérieur SVR, ont pu envoyer des courriels de harponnage spécialement conçus qui provenaient réellement des comptes de messagerie de l’organisation dont ils usurpaient l’identité. Les courriels comprenaient des liens légitimes qui redirigeaient ensuite vers une infrastructure Nobelium malveillante et installaient des logiciels malveillants pour prendre le contrôle des appareils cibles.
Bien que le nombre de cibles semble important et que l’USAID travaille avec de nombreuses personnes occupant des postes sensibles, l’impact réel pourrait ne pas être aussi grave qu’il n’y paraît. Si Microsoft reconnaît que certains messages ont pu passer, l’entreprise affirme que les systèmes de spam automatisés ont bloqué une grande partie des messages de phishing. Le vice-président de Microsoft chargé de la sécurité et de la confiance des clients, Tom Burt, a écrit dans un billet de blog jeudi, que la société considère l’activité comme « sophistiquée » et que Nobelium a évolué et affiné sa stratégie pour la campagne pendant des mois avant le ciblage de cette semaine.
« Il est probable que ces observations représentent des changements dans les techniques de l’acteur et une expérimentation possible suite aux nombreuses divulgations d’incidents précédents », écrit Burt. En d’autres termes, il pourrait s’agir d’un pivot après que leur couverture SolarWinds ait été découverte.
Mais les tactiques de cette dernière campagne de phishing reflètent également la pratique générale de Nobelium, qui consiste à établir un accès à un système ou à un compte, puis à l’utiliser pour accéder à d’autres systèmes et atteindre de nombreuses cibles. C’est une agence d’espionnage ; c’est ce qu’elle fait tout naturellement.
« Si cela s’était produit avant SolarWinds, nous n’y aurions pas pensé. Ce n’est que le contexte de SolarWinds qui nous fait voir les choses différemment », déclare Jason Healey, ancien collaborateur de la Maison Blanche de Bush et actuel chercheur en cyberconflits à l’Université de Columbia. « Disons que cet incident se produit en 2019 ou 2020, je ne pense pas que quiconque va cligner des yeux à ce sujet ».
Comme le souligne Microsoft, il n’y a également rien d’inattendu à ce que les espions russes, et Nobelium en particulier, ciblent des agences gouvernementales, USAID en particulier, des ONG, des groupes de réflexion, des groupes de recherche ou des prestataires de services militaires et informatiques.
« Les ONG et les groupes de réflexion du DC sont des cibles molles de grande valeur depuis des décennies », déclare un ancien consultant en cybersécurité du Département de la sécurité intérieure. » Et c’est un secret de polichinelle dans le monde de la réponse aux incidents que l’USAID et le Département d’État sont un fouillis de réseaux et d’infrastructures informatiques sous-traités et non contrôlés. Par le passé, certains ces systèmes étaient compromis depuis des années.«
En particulier par rapport à l’ampleur et à la sophistication de la brèche SolarWinds, une campagne de phishing généralisée ressemble presque à un ralentissement. Il est également important de se rappeler que les impacts de SolarWinds se poursuivent ; même après des mois de publicité autour de l’incident, il est probable que Nobelium hante encore au moins certains des systèmes compromis au cours de cet effort.
« Je suis sûr qu’ils ont encore des accès à certains endroits de la campagne SolarWinds », déclare Hultquist de FireEye. « L’essentiel de l’activité a été réduit, mais il est très probable qu’ils persistent à plusieurs endroits. »
C’est la réalité de l’espionnage numérique. Il ne s’arrête pas et ne commence pas en fonction de la honte publique. L’activité de Nobelium est certainement malvenue, mais elle ne présage pas en soi une grande escalade.
Reportage supplémentaire d’Andy Greenberg.
Poster un commentaire