Des pirates russes à l'origine d'une nouvelle cyberattaque de masse, selon Microsoft
Le groupe de pirates russes qui serait à l'origine de l'attaque a été baptisé « Nobelium » par Microsoft.
Photo : getty images/istockphoto / ismagilov
Les pirates informatiques responsables de l’attaque SolarWinds qui avait touché des centaines de sociétés aux États-Unis auraient lancé une nouvelle cyberattaque mondiale, cette fois contre 150 agences gouvernementales et des dizaines d'autres organisations, rapporte le géant de l’informatique Microsoft.
Cette semaine, nous avons relevé des cyberattaques du dangereux groupe Nobelium visant des agences gouvernementales, des groupes de réflexion, des consultants et des organisations non gouvernementales
, a déclaré jeudi la direction de la multinationale informatique dans un blogue.
D’après les informations recueillies par Microsoft, le groupe de pirates informatiques de haut niveau que Microsoft a baptisé Nobelium
a ciblé cette semaine 3000 comptes de messagerie électronique dans diverses organisations, dont la plupart se trouvaient aux États-Unis.
Au moins le quart des cibles des attaques de cette semaine étaient impliquées dans le développement international, l'humanitaire et les droits de l'homme, dans au moins 24 pays, souligne Microsoft.
Cette fois, Nobelium a lancé son attaque en accédant à un compte de marketing par courriel Constant Contact utilisé par l'Agence américaine pour le développement international (USAID).
En accédant au compte de l'USAID, les pirates ont pu envoyer des courriels d’hameçonnage qui, selon Microsoft, semblaient authentiques, mais comprenaient un lien qui, lorsqu'on cliquait dessus, insérait un fichier malveillant
qui permettait aux pirates d'accéder aux ordinateurs par une porte dérobée.
« Cette porte dérobée pouvait permettre un large éventail d'activités allant du vol de données à l'infection d'autres ordinateurs sur un réseau. »
Ces attaques semblent être une continuation des multiples efforts de Nobelium pour cibler les agences gouvernementales impliquées dans la politique étrangère dans le cadre de la collecte de renseignements
, a déclaré Microsoft.
La porte-parole par intérim de l'USAID, Pooja Jhunjhunwala, a déclaré vendredi que l'agence était au courant de la situation et a confirmé cette activité de messagerie potentiellement malveillante
en provenance d'un compte marketing Constant Contact. Une enquête sur cet incident est en cours, a ajouté Mme Jhunjhunwala.
Selon les enquêteurs de Microsoft, ces pirates font partie du même groupe russe à l'origine de l'attaque dévastatrice de l'année dernière qui visait 18 000 entreprises, dont au moins 9 agences fédérales américaines, en utilisant une mise à jour du logiciel SolarWinds, utilisé par des dizaines de milliers d'entreprises et d'administrations dans le monde.
Au début du mois, une autre attaque, par rançongiciel cette fois, a mis hors service l’oléoduc Colonial Pipeline, l'une des infrastructures énergétiques les plus importantes des États-Unis. Cette attaque provenait aussi de Russie, selon le FBI.
Selon James Lewis, expert en cybersécurité au Center for Strategic and International Studies, interrogé par CNN, les Russes ont un plan de campagne pour des attaques massives contre des cibles américaines, pour lesquelles ils n'ont aucun intérêt à s'arrêter
.
« Ils n'ont pas peur de la réponse américaine. Ils sont en train de tester la nouvelle administration [Biden]. »
Le porte-parole du Kremlin, Dmitry Peskov, a pour sa part refusé vendredi de commenter les allégations de Microsoft.
Pour répondre à votre question, nous devons d'abord répondre à ce qui suit : quels groupes? Pourquoi sont-ils liés à la Russie? Qui a attaqué quoi? À quoi cela a-t-il mené? Quelle était l'attaque elle-même? Et comment Microsoft en est-elle informée? Si nous répondons à toutes ces questions, nous pourrons réfléchir à la réponse
, a déclaré M. Peskov à CNN dans une conférence téléphonique.
