Dernièrement, le groupe à l’origine du piratage de SolarWinds a fait son retour en envoyant des e-mails de phishing à plusieurs agences gouvernementales, entreprises et ONG. Microsoft a d’ailleurs mis en garde ses clients dans un article de blog. Du côté de Redmond, qui abrite la firme américaine, on voit surtout dans cette nouvelle attaque la confirmation d’une tendance de fond.
Des milliers de comptes de messagerie touchés
Selon les médias, cette attaque a touché quelque 3000 comptes de messagerie dans plus de 150 organisations différentes : agences gouvernementales, groupes de réflexion, sociétés de conseil, ONG, etc. Les organisations concernées se situent dans 24 pays, la majorité des cibles se trouvant aux États-Unis.
Et d’après les analyses, cette attaque est à nouveau imputable au groupe russe Nobelium, également connu sous le nom d’APT29 ou de « Cozy Bear », déjà responsable du piratage de SolarWinds à l’automne dernier.
A l’origine de l’attaque… un compte gouvernemental
Dans ce cas précis, les pirates ont d’abord détourné un compte de l’Agence des États-Unis pour le développement international (USAID, United States Agency for International Development) chez un fournisseur de services marketing pour envoyer ensuite des e-mails de phishing.
Un lien contenu dans ces e-mails renvoyait vers un fichier qui, selon Microsoft, permettait aux pirates de s’emparer de données et d’infecter d’autres ordinateurs. La stratégie de Nobelium devient claire : accéder aux fournisseurs de technologies pour infecter ensuite leurs clients (« Attaques de la chaîne d’approvisionnement »). Microsoft a publié dans son centre de renseignement sur les menaces (Threat Intelligence Center) d’autres informations techniques détaillées sur les méthodes employées.
Une sécurité complète pour le canal de communication e-mail
Cet exemple illustre la nécessité absolue pour les entreprises de protéger leurs boîtes de messagerie sur site ou dans le cloud. Elles doivent absolument disposer d’un système de sécurité de la messagerie aussi complet que possible, doté de fonctions de filtrage du phishing ultra performantes. Nous vous expliquons pourquoi une solution de sécurité complémentaire basée sur le cloud est également recommandée pour les environnements Microsoft 365, dans notre article de blog publié sur ce sujet.