Bien connu de SolarWinds et Microsoft, le groupe de cybercriminels russes Nobelium revient à la charge en faisant campagne contre les revendeurs et les fournisseurs de services. Ces attaques auraient débuté en mai d’après le rapport établi par Microsoft et seraient basées sur des techniques bien connues, comme le « password spraying », qui consiste à tester un ensemble limité de mots de passe sur plusieurs comptes en ligne et le phishing, pour voler des informations d'identification légitimes et obtenir un accès privilégié.
Nobelium a tenté de reproduire l'approche qu'il a utilisée lors d'attaques passées en ciblant des organisations faisant partie intégrante de la chaîne d'approvisionnement informatique mondiale, et plus précisément les revendeurs et autres fournisseurs de services technologiques qui personnalisent, déploient et gèrent des services de cloud computing et d'autres technologies pour le compte de leurs clients. « Nous pensons que Nobelium espère finalement tirer parti de l'accès direct que les revendeurs peuvent avoir aux systèmes informatiques de leurs clients et se faire passer plus facilement pour le partenaire technologique de confiance d'une entreprise afin d'accéder à ses clients en aval » a précisé Tom Burt, vice-président corporate de l'activité sécurité et confiance client dans un billet de blog Microsoft.
Une augmentation accrue des attaques
Depuis mai, la firme de Redmond a notifié plus de 140 revendeurs et fournisseurs de services technologiques ciblés par Nobelium. A ce jour, 14 de ces derniers ont été compromis selon la firme. Ces attaques font partie d'une vague plus importante d'activités de Nobelium cet été. En effet entre le 1er juillet et le 19 octobre de cette année, 609 clients de Microsoft ont été alertés sur le fait qu'ils avaient été attaqués 22 868 fois par Nobelium, avec un taux de réussite à un chiffre. En comparaison, avant le 1er juillet 2021, l’éditeur avait informé ses clients d'attaques provenant de tous les acteurs étatiques 20 500 fois au cours des trois dernières années.
Amit Yoran, actuel CEO de Tenable, et également à l’origine du programme US-CERT de veille et de lutte contre les cyberattaques du département de la sécurité intérieure des Etats Unis voit dans cette vague d’attaques une défaillance dans la chaîne d’approvisionnement des logiciels. « Une fois de plus, nous ne voyons pas de techniques super sophistiquées, jamais vues auparavant, derrière une cyberattaque majeure. Ce sont les éléments de base qui continuent de faire trébucher les organisations. Ce qui est relativement nouveau au cours des 12 derniers mois, c'est l'attention stratégique et continue portée à la chaîne d'approvisionnement des logiciels. Cela renvoie directement aux problèmes de sécurité de la chaîne d'approvisionnement que SolarWinds a mis en évidence - il suffit de briser un seul maillon de la chaîne pour faire tomber tout le périmètre ».
La Russie n’en est pas à son coup d’essai
La Russie tente depuis plusieurs années d’obtenir un accès systématique à long terme à divers points de la chaîne d'approvisionnement technologique et d'établir un mécanisme pour surveiller – aujourd’hui ou à l'avenir - des cibles qui intéressent le gouvernement russe. Microsoft travaille en collaboration avec des agences gouvernementales aux États-Unis et en Europe. Même si ce type d’attaques de la part d’États-nations, y compris la Russie, ne risque pas de s’amenuiser mais bien au contraire d’augmenter considérablement dans les années à venir, le partage des informations entre l'industrie et le gouvernement depuis plusieurs années permet d’appréhender au mieux ces attaques et celles à venir.
Cet ancien haut fonctionnaire de l'administration américaine a qualifié ces dernières attaques « d'opérations banales et ordinaires qui auraient pu être évitées si les fournisseurs de services cloud avaient mis en œuvre des pratiques de cybersécurité de base. Nous pouvons faire beaucoup de choses, mais la responsabilité de mettre en œuvre des pratiques de cybersécurité simples pour verrouiller leurs accès, qui sont par extension les nôtres, incombe au secteur privé ».
Les grands moyens déployés
En septembre 2020, la firme de Redmond avait déployé l’authentification multi-facteurs (MFA) pour accéder au Partner Center et pour utiliser le privilège d'administration déléguée (DAP) afin de gérer un environnement client. Dernièrement, un programme a même été lancé visant à fournir gratuitement deux années d'un plan Azure Active Directory Premium qui offre un accès étendu à des fonctionnalités premium supplémentaires pour renforcer les contrôles de sécurité.
Les outils Microsoft de protection contre les menaces et d'opérations de sécurité, tels que Microsoft Cloud App Security (MCAS), M365 Defender, Azure Defender et Azure Sentinel, ont ajouté des détections pour aider les organisations à identifier ces attaques et à y répondre. D’autres ressources sont à disposition des entreprises, incluant des conseils techniques qui peuvent aider les organisations à se protéger contre les dernières activités de Nobelium ainsi que des conseils pour les partenaires. A l’avenir, la firme souhaite faciliter l'accès des fournisseurs de services de toutes tailles à ses services les plus avancés de gestion des solutions de connexion sécurisée, de gestion des identités et des accès, gratuitement ou à faible coût.