Microsoft révèle qu’une violation de 3.000 comptes email, provenant de 150 organisations différentes dans 24 pays au moins, a été menée par Nobelium. Après l’affaire SolarWinds, le groupe de pirates russes a de nouveau frappé, cette fois en utilisant le service d’e-marketing Constant Contact de l’agence d’aide gouvernementale américaine USAID lors d’une campagne d’hameçonnage.
Le service Constant Contact déclare être bien au courant de la compromission : « Il s’agit d’un incident isolé. Nous avons temporairement désactivé les comptes concernés tandis que nous travaillons en coopération avec notre client qui collabore avec les forces de l’ordre. »
L’éditeur de logiciel de Redmond a déclaré qu’il notifiait tous les clients ciblés : « Au moins un quart des organisations ciblées sont impliquées dans le développement international, l’humanitaire et les droits de l’homme ». Dans un post de blog, Tom Burt, le responsable de la sécurité et de la confiance clients chez Microsoft, explique que « le jeu de Nobelium consiste à accéder à des fournisseurs de technologie de confiance et à infecter leurs clients ». Dans ce cas précis, Nobelium a « distribué des emails de phishing, d’apparence authentique. Ils comprennent un lien qui, lorsqu’on clique dessus, insère un fichier malveillant et distribue une porte dérobée ». Cette porte dérobée a pour nom NativeZone. Elle « peut permettre des activités allant du vol de données à l’infection d’autres ordinateurs sur un réseau », poursuit Tom Burt. Il précise que Windows Defender permet de bloquer cette attaque.
Interrogé par CRN en sa qualité de partenaire Microsoft, le PDG de Cumulus Global, Allen Falcon, estime que la responsabilité des partenaires est de « s’assurer que leurs écosystèmes sont sécurisés, qu’ils n’introduisent pas de risque chez leurs clients. Ils doivent également éduquer leurs clients aux risques (…); proposer, mettre en œuvre et gérer des environnements de sécurité multicouches ; et fournir des solutions pour répondre aux brèches (…) si elles se produisent ». Pour autant, « Aucune prévention n’est parfaite », selon lui.
Par ailleurs, pour en savoir plus sur l’affaire SolarWinds, c’est ici.