Nobelium, le groupe russe qui s'était distingué en lançant l'attaque de SolarWinds, est revenu sur le devant de la scène, visant cette fois des agences gouvernementales et des ONG.
Cette campagne de phishing du groupe russe a visé 3 000 adresses mail de plus de 150 organisations dans 24 pays, d'après Microsoft.
Une campagne de phishing utilisant des adresses mail légitimes
Nobelium, souvent considéré comme affilié au SVR, le service de renseignement extérieur russe, a lancé une nouvelle attaque la semaine dernière, rapporte Microsoft. Celle-ci passe par une campagne de phishing, rendue possible par l'accès au compte Constant Contact de l'Agence des États-Unis pour le développement international (USAID). Comme expliqué par la firme de Redmond, Constant Contact est un outil utilisé pour faire du marketing par e-mail.
Les pirates ont utilisé les adresses mail de l'USAID pour envoyer des courriels indiquant que Donald Trump avait dévoilé de nouveaux documents sur la fraude électorale, invitant les victimes à cliquer sur un lien. Après avoir cliqué, les cibles sont redirigées sur une URL appartenant au groupe, qui télécharge un fichier installant une backdoor appelée « NativeZone ». À partir de là, Nobelium a accès à l'ordinateur de ses victimes et peut voler des données ou infecter d'autres ordinateurs sur le réseau.
Avec cette attaque, le groupe a visé des organisations gouvernementales, mais aussi des ONG, des think thank et des consultants. Si les cibles sont majoritairement américaines, des organisations issues de 24 pays sont concernées. Microsoft a précisé qu'un quart d'entre elles sont actives dans des domaines comme le développement international, l'humanitaire et les droits de l'homme.
Microsoft se veut malgré tout rassurante
D'après l'entreprise américaine, il est probable que peu de ces mails aient atteint leur cible. À cause du volume de courriels envoyés, la plupart d'entre eux ont directement été désignés comme spam, minimisant l'impact de la campagne de phishing. De plus, la société assure que ses produits, notamment Windows Defender Antivirus et Windows Defender Endpoint, protègent contre ce nouveau virus. Par conséquent, elle a déclaré ne pas avoir eu de retours indiquant qu'un nombre significatif d'organisations ont été compromises.
Dans l'article de blog, Tom Burt, Vice-président chargé des questions de sécurité chez Microsoft, souligne que Nobelium et d'autres groupes du même genre choisissent leurs cibles selon les préoccupations actuelles des pays d'où ils opèrent. Il donne comme exemple le ciblage des organisations de santé par la Russie au plus haut de l'épidémie de Covid-19, ou encore des organisations sportives et anti-dopage au moment où la Russie a été exclue des Jeux olympiques. Ici, Nobelium a visé des structures engagées sur la protection des droits humains, dans un but d'espionnage selon lui.
Tom Burt a également souligné la nécessité pour les gouvernements de mettre en place des règles claires concernant les attaques venant d'autres pays. En attendant, Microsoft donne plusieurs conseils pour se protéger de futures attaques : activer la double authentification, faire attention aux liens et fichiers envoyés par mail et activer la protection fournie par le Cloud de son antivirus.
Source : Microsoft