Microsoft : Des hackers soutenus par la Russie ciblent les services de cloud computing
Microsoft a déclaré lundi que les mêmes pirates informatiques soutenus par la Russie et responsables de la violation de SolarWinds en 2020 continuent d’attaquer la chaîne d’approvisionnement technologique mondiale et ciblent sans relâche les sociétés de services de cloud computing et autres depuis l’été.
Le groupe, que Microsoft appelle Nobelium, a employé une nouvelle stratégie pour tirer parti de l’accès direct que les revendeurs de services en nuage ont aux systèmes informatiques de leurs clients, dans l’espoir de « se faire plus facilement passer pour le partenaire technologique de confiance d’une organisation afin d’accéder à ses clients en aval ». Les revendeurs agissent en tant qu’intermédiaires entre les entreprises géantes du cloud et leurs clients finaux, gérant et personnalisant les comptes.
« Heureusement, nous avons découvert cette campagne au cours de ses premiers stades, et nous partageons ces développements pour aider les revendeurs de services de cloud, les fournisseurs de technologie et leurs clients à prendre des mesures opportunes pour s’assurer que Nobelium n’ait pas plus de succès », a déclaré Tom Burt, un vice-président de Microsoft, dans un billet de blog.
L’administration Biden a minimisé l’annonce de Microsoft. Un fonctionnaire du gouvernement américain informé sur la question, qui a insisté sur l’anonymat pour discuter de la réponse du gouvernement, a noté que « les activités décrites étaient des pulvérisations de mots de passe et des hameçonnages peu sophistiqués, des opérations courantes à des fins de surveillance dont nous savons déjà qu’elles sont tentées tous les jours par la Russie et d’autres gouvernements étrangers ».
L’ambassade de Russie n’a pas immédiatement répondu à une demande de commentaire.
Les liens entre les États-Unis et la Russie ont déjà été tendus cette année en raison d’une série d’attaques par ransomware très médiatisées contre des cibles américaines lancées par des cyber-gangs basés en Russie. Le président américain Joe Biden a lancé un avertissement au président russe Vladimir Poutine pour l’inciter à sévir contre les criminels qui utilisent des ransomwares, mais plusieurs hauts responsables de la cybersécurité de l’administration ont déclaré récemment qu’ils n’en avaient pas vu la preuve.
Les attaques de la chaîne d’approvisionnement permettent aux pirates de voler des informations à plusieurs cibles en s’introduisant dans un seul produit qu’elles utilisent toutes. Le gouvernement américain a déjà accusé l’agence de renseignement étrangère russe SVR d’être responsable du piratage de SolarWinds, un piratage de la chaîne d’approvisionnement qui n’a pas été détecté pendant la majeure partie de l’année 2020, compromettant plusieurs agences fédérales et mettant Washington dans une situation très embarrassante.
La campagne de piratage est appelée SolarWinds, du nom de l’entreprise américaine de logiciels dont le produit a été utilisé dans cet effort. En avril, l’administration Biden a imposé de nouvelles sanctions à l’encontre de six entreprises russes qui soutiennent les efforts cybernétiques du pays, en réponse au piratage de SolarWinds.
Microsoft observe la dernière campagne de Nobelium depuis mai et a notifié plus de 140 entreprises ciblées par le groupe, dont 14 auraient été compromises. Les attaques sont de plus en plus incessantes depuis juillet, Microsoft ayant informé 609 clients qu’ils avaient été attaqués 22 868 fois par Nobelium, avec un taux de réussite de l’ordre de 10 %. C’est plus d’attaques que ce que Microsoft avait signalé de tous les acteurs étatiques au cours des trois années précédentes.
« La Russie tente d’obtenir un accès systématique et à long terme à divers points de la chaîne d’approvisionnement technologique et d’établir un mécanisme pour surveiller, maintenant ou à l’avenir, des cibles qui intéressent le gouvernement russe », a déclaré M. Burt.
Microsoft n’a pas nommé les cibles des pirates dans leur dernière campagne. Mais la société de cybersécurité Mandiant a déclaré avoir vu des victimes en Europe et en Amérique du Nord.
Le directeur de la technologie de Mandiant, Charles Carmakal, a déclaré que la méthode utilisée par les pirates pour s’attaquer aux revendeurs rendait la détection difficile.
« Cela déplace l’intrusion initiale des cibles finales, qui dans certaines situations sont des organisations avec des cyberdéfenses plus matures, vers des partenaires technologiques plus petits avec des cyberdéfenses moins matures », a-t-il déclaré.
——
Le rédacteur d’AP Business Matt Ott à Silver Spring, Maryland, a contribué à ce rapport.