C'est peu de dire que le groupe Nobelium a empoisonné la vie de très nombreuses entreprises et organisations publiques dans le monde. Apparenté à la Russie, ce groupe de cybercriminels a en effet compromis des systèmes d'information à grande échelle via Solarwinds fin 2020, mais également Microsoft, et ce à plusieurs reprises. Les victimes sont loin d'être étrangères, parmi elles des organismes privés et publics français comme a pu le conformer dans un dernier rapport l'agence nationale de la sécurité des systèmes d'information.

Le mode opératoire d'attaquants (MOA) caractéristique de Nobelium a été aussi identifié à de multiples reprises dans des cyberattaques ciblant en effet des entités françaises et ce, depuis février 2021. « Le MOA employé au cours de ces activités malveillantes a permis de compromettre des comptes de messagerie d’organisations françaises, et d’envoyer à partir de ces comptes des courriels piégés à des institutions étrangères. Par ailleurs, des organisations publiques françaises ont également été destinataires de messages piégés provenant d’institutions étrangères supposément compromises », explique l'agence. 

Une analyse étape par étape

L'étude de l'Anssi porte sur l'analyse d'une série de campagnes par phishing qui se sont intensifiées en mai dernier. Avec tout d'abord le passage au peigne fin des tactiques, techniques et procédures TTP) utilisées, selon le référentiel MITRE ATT&CK. Cela passe ainsi par les étapes de développement de ressource (compromission d'infrastructure et de comptes de messagerie avec VaporRage), reconnaissance (collecte d'informations via le code malveillant EnvyScout), accès initial (spearphishing via des adresses compromises d'entités de confiance comprenant une pièce jointe HTML malveillante). « Le MOA a hébergé un code malveillant sur la plateforme Google Drive », indique l'Anssi. « il a utilisé le service de marketing en ligne Constant Contact pour distribuer des courriels d'hameçonnage à plusieurs centaines de destinataires ».

22 indicateurs de compromission des campagnes par phishing menées par le cybergang Nobelium ont été détaillés par l'Anssi, mais pas celui relatif à l'AS31400 Accelerated IT Services Consulting. (crédit : Anssi)

Quatre autre étapes ont ensuite été identifiées : exécution (via la charge Cobalt Strike activée lors de la pièce jointe HTML vérolée), camouflage (faire passer l'exécutable pour légitime et effacement des outils de reconnaissance BloodHound et AdFind), découverte (recueil de données via des commandes Windows, Boombox, AdFind et BloodHound). Et enfin l'exfiltration, via Boombox pour diriger les informations recueillies via Dropbox et l'utilisation du canal C2 HTTP de Cobalt Strike.

Ne pas exécuter de fichiers douteux et renforcer la sécurité de l'AD

« La charge finale déposée par le mode opératoire est un implant Cobalt Strike. Il est configuré pour contacter ses serveurs de commande et de contrôle en HTTPs sur le port 443 », peut-on lire dans le rapport de l'Anssi. « L’infrastructure C2 du mode opératoire est constituée de virtual private servers (VPS), situés chez différents hébergeurs. Le mode opératoire semble privilégier des serveurs proches des pays ciblés. Plus particulièrement, plusieurs adresses IP de l’infrastructure C2 appartiennent à OVH ». En effet, sur les 23 occurrences répertoriés de systèmes autonomes (AS) utilisés comme mode opératoire d'attaquant, 7 sont relatives à OVH contre 2 pour Hydra Communications et M247. « Le gang enregistre majoritairement ses noms de domaines chez NAMESILO et NAMECHEAP », poursuit l'agence.

D’après Microsoft, Nobelium était toujours actif en octobre 2021, et ce modus operandi aurait été utilisé au cours d’autres campagnes d’attaques visant notamment depuis avril 2021, des serveurs Active Directory Federation Services pour compromettre des entités gouvernementales, des think tanks et des entreprises privées aux États-Unis et en Europe. Au vu de la chaine de compromission, l'Anssi émet la sage recommandation de ne pas exécuter de fichiers douteux et de renforcer la sécurité de l'Active Directory en leur appliquant des mesures de sécurité renforcée.