Ce groupe est actuellement l’un des plus dangereux de la planète. Ils continuent d’attaquer des organisations dans le monde entier.
Les alertes concernant les redoutables hackers de SolarWinds se multiplient. Baptisé « Nobelium » par Microsoft, ce groupe de pirates — que l’on suppose être une émanation du renseignement extérieur de la Russie — a réalisé « plusieurs campagnes d’hameçonnage contre des entités françaises depuis février 2021 », explique l’ANSSI dans un rapport de menace qui vient de paraître. Ces attaques ont été couronnées de succès, car elles ont permis « de compromettre des comptes de messageries d’organisations françaises ». Les pirates s’en sont notamment servis pour envoyer des courriels piégés à des institutions étrangères du secteur de la diplomatie. Inversement, des institutions étrangères, apparemment compromises par Nobelium, ont envoyé des messages piégés à des organisations publiques françaises.
Selon l’ANSSI, la charge finale déposée par les pirates est notamment un code malveillant fondé sur Cobalt Strike, un outil de pentest souvent utilisé par les cybercriminels. Cet implant a contacté plus d’une vingtaine de serveurs de commande et de contrôle que l’ANSSI a pu identifier. Sept d’entre eux ont été hébergés par OVH. L’agence nationale a observé l’utilisation d’autres codes malveillants comme BoomBox, EnvyScout, ADFind ou BloodHound. Ils servent, entre autres, pour la reconnaissance, la collecte et l’exfiltration de données.
Les chercheurs en sécurité de Mandiant ont également publié un rapport sur les activités récentes de Nobelium, qu’ils considèrent comme l’un des acteurs les plus dangereux jamais rencontrés. Ces pirates continuent d’attaquer des organisations dans le monde entier en utilisant des techniques particulièrement sophistiquées. En particulier, ils arrivent à compromettre des fournisseurs de services cloud, ce qui leur permet de pirater leurs clients en conséquence. Ils arrivent à rester sous le radar en utilisant des adresses IP localement proches de leurs cibles, grâce à des services de proxy. Ils réussissent également à contourner les contrôles d’authentification à double facteur par ingénierie sociale. Ils brouillent les pistes en s’appuyant sur Tor et des services VPN publics. Ils arrivent également à effacer leurs traces dans les logs des entreprises. Ils sont vraiment très forts.
source : 01net