Les hackers de SolarWinds ciblent les gouvernements et les entreprises commerciales du monde entier
Nobelium est l’organisation de cyber-espionnage ayant compromis la chaîne d’approvisionnement de SolarWinds. Celle-ci a de nouveau été liée à une série d’attaques visant plusieurs fournisseurs de solutions de cloud computing, des services et des sociétés de revente. Le groupe de pirates continue à affiner ses tactiques en réponse aux révélations publiques.
Les intrusions concernent UNC3004 et UNC2652, 2 groupes associés à UNC2452, un groupe de menaces non catégorisé. Ce dernier semble d’ailleurs avoir été lié aux services de renseignement russes. UNC2652 a ciblé des entités diplomatiques avec des courriels d’hameçonnage contenant des pièces jointes HTML avec du JavaScript malveillant.
La Russie pointée du doigt à cause de ses activités malveillantes
Ce sont des chercheurs de Mandiant qui ont suivi de près cette affaire. L’équipe est composée de Luke Jenkins, Sarah Hawley, Parnian Najafi et Doug Bienstock. Pour l’occasion, ils ont publié un nouveau rapport.
« Dans la plupart des cas, les activités après la compromission englobaient le vol de données pertinentes pour les intérêts russes. (…) Dans certains cas, le vol de données semble avoir été fait principalement pour créer de nouvelles voies d’accès à d’autres environnements de victimes. »
Ces révélations interviennent exactement un an après l’apparition de détails sur une campagne de piratage soutenue par le Kremlin. Les hackers avaient pénétré dans les serveurs du fournisseur de gestion de réseau SolarWinds. Les malfrats avaient réussi à propager des binaires de logiciels altérés à de gros clients, dont 9 agences fédérales US.
Des tactiques innovantes utilisées à des fins peu honorables
Une fois de plus, cette affaire montre que les hackers redoublent d’efforts pour percer chez de nouvelles victimes. Récemment, Microsoft avait même qualifié Nobelium d’« opérateur habile et méthodique qui suit les meilleures pratiques de sécurité des opérations (OpSec) ».
Depuis l’incident de SolarWinds, le groupe APT a été soupçonné d’avoir participé à des attaques visant des groupes de réflexion, des entreprises et des entités gouvernementales dans les 4 coins du globe.
Nobelium utilise également un nouvel outil baptisé Ceeloader, un téléchargeur sur mesure conçu pour décrypter une charge utile de shellcode. Le but est de l’exécuter en mémoire sur le système compromis. Il y aura aussi des notifications push sur les smartphones pour contourner les méthodes d’authentification multifactorielle (MFA).
Avec l’ingéniosité des pirates actuels, les gouvernements ont bien raison de trembler. Ses hackers de SolarWinds ne sont qu’un exemple parmi tant d’autres. En effet, la Chine vient récemment de saisir 42 domaines utilisés par un groupe de cyber-espionnage. Les autres pays arriveront-ils à en faire de même ?
