IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le groupe à l'origine de la cyberattaque SolarWinds cible désormais les ONG et les agences gouvernementales
Ses victimes sont répertoriées dans au moins 24 pays selon Microsoft

Le , par Stéphane le calme

86PARTAGES

9  0 
Le groupe à l'origine de la cyberattaque SolarWinds identifiée à la fin de l'année dernière cible désormais les agences gouvernementales, les groupes de réflexion, les consultants et les organisations non gouvernementales, a déclaré jeudi Microsoft Corp.

« Microsoft Threat Intelligence Center (MSTIC) a découvert une campagne de courrier électronique malveillant à grande échelle exploitée par NOBELIUM, l'acteur de la menace derrière les attaques contre SolarWinds, la porte dérobée SUNBURST, le logiciel malveillant TEARDROP, le logiciel malveillant GoldMax et d'autres composants connexes. La campagne, initialement observée et suivie par Microsoft depuis janvier 2021, a évolué au fil d'une série de vagues démontrant une expérimentation significative. Le 25 mai 2021, la campagne s'est intensifiée lorsque NOBELIUM a exploité le service de messagerie de masse légitime, Constant Contact, pour se faire passer pour une organisation de développement basée aux États-Unis et distribuer des URL malveillantes à une grande variété d'organisations et de secteurs verticaux ».

Et Microsoft d'expliquer que :

« NOBELIUM a toujours ciblé les organisations gouvernementales, les organisations non gouvernementales (ONG), les groupes de réflexion, les militaires, les fournisseurs de services informatiques, la technologie et la recherche en santé et les fournisseurs de télécommunications. Avec cette dernière attaque, NOBELIUM a tenté de cibler environ 3000 comptes individuels dans plus de 150 organisations, en utilisant un modèle établi d'utilisation d'une infrastructure et d'outils uniques pour chaque cible, augmentant ainsi leur capacité à rester non détectés pendant une période de temps plus longue.

« Cette nouvelle campagne de courrier électronique à grande échelle tire parti du service légitime Constant Contact pour envoyer des liens malveillants qui ont été masqués derrière l'URL du service de messagerie (de nombreux services de courrier électronique et de documents fournissent un mécanisme pour simplifier le partage de fichiers, fournissant des informations sur qui et quand les liens sont cliqués). En raison du volume élevé d'e-mails distribués dans le cadre de cette campagne, les systèmes automatisés de détection des menaces par e-mail ont bloqué la plupart des e-mails malveillants et les ont marqués comme spam. Cependant, certains systèmes automatisés de détection des menaces peuvent avoir réussi à remettre certains des e-mails antérieurs aux destinataires soit en raison des paramètres de configuration et de stratégie, soit avant que les détections ne soient en place ».

La campagne NOBELIUM observée par MSTIC diffère considérablement des opérations NOBELIUM qui se sont déroulées de septembre 2019 à janvier 2021, qui incluaient le piratage de la plateforme SolarWinds Orion. Microsoft estime qu'il est probable que ces observations représentent des changements dans le mode opératoire des cybercriminels et une éventuelle expérimentation à la suite de nombreuses révélations d’incidents antérieurs.

Dans le cadre de la découverte initiale de la campagne en février, MSTIC a identifié une vague d'e-mails de phishing qui ont exploité la plateforme Google Firebase pour mettre en scène un fichier ISO contenant du contenu malveillant, tout en exploitant également cette plateforme pour enregistrer les attributs de ceux qui ont accédé à l'URL. MSTIC a retracé le début de cette campagne jusqu'au 28 janvier 2021 ; à ce moment, les cybercriminels effectuaient visiblement des missions de reconnaissance, exploitant les URL Firebase pour enregistrer les cibles qui avaient cliqué dessus, mais sans leur envoyer une charge utile malveillante lors de cette première phase.

Nobelium a lancé les attaques de cette semaine en pénétrant par effraction dans un compte de marketing par courrier électronique utilisé par l'Agence des États-Unis pour le développement international (USAID) et à partir de là, en lançant des attaques de phishing contre de nombreuses autres organisations, a déclaré Microsoft.

« Lors de la campagne du 25 mai, il y a eu plusieurs itérations. Dans un exemple, les e-mails semblent provenir de l'USAID (une agence gouvernementale américaine qui administre l'aide étrangère civile et l'aide au développement) <ashainfo@usaid.gov>, tout en ayant une adresse e-mail d'expéditeur authentique qui correspond au service Constant Contact standard. Cette adresse (qui varie pour chaque destinataire) se termine par @ in.constantcontact.com, et (qui varie pour chaque destinataire), et une adresse de réponse de <mhillary@usaid.gov> a été observée ».

Les e-mails se présentent comme une alerte de l'USAID, comme indiqué ci-dessous.


Les personnes qui ont cliqué sur le lien ont d'abord été envoyées au service légitime de Constant Contact, mais peu de temps après, elles ont été redirigées vers un fichier hébergé sur des serveurs appartenant à Nobelium, a déclaré Microsoft. Une fois les cibles redirigées, JavaScript a amené les appareils des visiteurs à télécharger automatiquement un type de fichier d'archive appelé image ISO.

Comme le montre l'image ci-dessous, l'image ISO contenait un fichier PDF, un fichier LNK nommé Reports et un fichier DLL nommé documents, qui par défaut était masqué.


Contenu du fichier ISO. Il est à noter que «Documents.dll» est un fichier caché.

La société de sécurité FireEye a déclaré qu'en plus du contenu de l'USAID, le groupe de piratage utilisait une variété d'autres leurres, y compris des notes diplomatiques et des invitations d'ambassades. Elle a poursuivi en disant que le ciblage des gouvernements, des groupes de réflexion et des organisations apparentées était un objectif traditionnel des opérations menées par le service de renseignement extérieur, connu sous le nom de SVR.

« Bien que l'activité SolarWinds ait été remarquable pour sa furtivité et sa discipline, les opérations de harponnage bruyantes et larges étaient autrefois la carte de visite des opérateurs SVR qui menaient souvent des campagnes de phishing tapageuses », a commenté John Hultquist, vice-président d'analyse chez Mandiant Threat Intelligence, propriété de FireEye. « Ces opérations ont souvent été efficaces, donnant accès aux principaux bureaux du gouvernement parmi d'autres cibles. Et si les e-mails de spear phishing ont été rapidement identifiés, nous nous attendons à ce que toute action post-compromission de ces acteurs soit hautement qualifiée et furtive ».

La société de sécurité Volexity, quant à elle, a publié jeudi son propre billet qui fournit encore plus de détails. Parmi eux: le fichier Documents.DLL a vérifié les machines cibles pour s'assurer qu'il n'était pas dans un sandbox de sécurité ou dans une machine virtuelle, comme indiqué ici:


Des victimes dans 24 pays au moins

Alors que les organisations aux États-Unis ont constitué la majorité des cibles de ces attaques, les victimes ont été répertoriées dans 24 pays au moins, selon Microsoft. Au moins un quart des organisations ciblées étaient impliquées dans le développement international, les questions humanitaires et les droits de l'homme, a déclaré l'éditeur dans un billet de blog.

Dans des déclarations publiées vendredi, le département de la sécurité intérieure et l'USAID ont tous deux déclaré qu'ils étaient au courant du piratage informatique et qu'ils enquêtaient.

Le piratage de la société de technologie de l'information SolarWinds, qui a été identifié en décembre, a donné accès à des milliers d'entreprises et de bureaux gouvernementaux qui utilisaient ses produits. Le président de Microsoft, Brad Smith, a décrit l'attaque comme « l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue ».

Ce mois-ci, le chef du service de renseignement de la Russie a nié la responsabilité de la cyberattaque SolarWinds, mais s'est dit « flatté » par les accusations des États-Unis et de la Grande-Bretagne selon lesquelles le renseignement étranger russe était à l'origine d'un piratage aussi sophistiqué.

Les États-Unis et la Grande-Bretagne ont blâmé le service russe de renseignement extérieur (SVR), successeur des opérations d'espionnage étrangères du KGB, pour le piratage qui a compromis neuf agences fédérales américaines et des centaines d'entreprises du secteur privé.

Sources : Microsoft, Volexity

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 29/05/2021 à 14:46
Citation Envoyé par Stéphane le calme Voir le message

Le président de Microsoft, Brad Smith, a décrit l'attaque comme « l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue ».
Ouais enfin, il ne faut pas charrier non plus, hein. C'est une "supply chain attack" classique. Ils se sont juste fait avoir pour avoir fait confiance à un éditeur tiers avec des pratiques logicielles toutes pourries. Mais bon, face aux actionnaires il ne peut pas dire ça

Citation Envoyé par Stéphane le calme Voir le message

Les États-Unis et la Grande-Bretagne ont blâmé le service russe de renseignement extérieur (SVR), successeur des opérations d'espionnage étrangères du KGB, pour le piratage qui a compromis neuf agences fédérales américaines et des centaines d'entreprises du secteur privé.
Aaah, les Russes. Qui est-ce que les USA pourraient blâmer s'ils n'existaient pas?! Ah non, c'est bon en fait, ils en ont une pleine liste

Blâmer les autres quand on a délibérément fait du travail de cochon (et que l'on fait régulièrement la même chose), je trouve ça quand même très gros!
2  0 
Avatar de GordonFreeman
Membre éclairé https://www.developpez.com
Le 07/07/2021 à 17:00
Mais que dire...

Il ne se passent pas un jour sans qu'on nous parle des piratages de groupuscules Russes couvert par le gouvernement. Le point commun, les accusations viennent toujours du même pays, les preuves en revanche...

A croire qu'à force de répéter quelque chose ça en devient une réalité !

Et si c'est effectivement la réalité (ce qui est plausible évidement), alors peut-être que les Russes devraient faire comme les USA, ne pas s'embarrasser de "groupes criminels" et faire ça directement au niveau du gouvernement comme le pays de l'oncle Sam (prouvé maintes fois en Europe).

D'ailleurs, on ne parle plus trop des piratages Chinois depuis un moment ?! Soit c'est moins vendeur ou utile (en matière d'intérêt) soit c'est qu'ils sont surement devenus très sage depuis j'imagine.

En résumé, la guerre de l’information a de beau jours devant elle !
5  3 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 19/06/2024 à 0:05
Citation Envoyé par Stéphane le calme Voir le message

Quel est le rôle des entreprises technologiques dans la protection contre les cybermenaces étatiques ?
Leur rôle est de se faire plein d'argent. Ce sont des entreprises privées, pas du service public. Et les gens à la tête des états sont juste des hypocrites qui font semblant de ne pas le savoir, alors qu'eux même oscillent entre ces grandes entreprises et le public, au cours de leur carrière.

Citation Envoyé par Stéphane le calme Voir le message

Dans quelle mesure les utilisateurs peuvent-ils faire confiance aux services cloud, sachant que des vulnérabilités peuvent ne pas être corrigées ?
La plupart des utilisateurs sont des pigeons. Je suis le premier navré par ce constat, mais sinon, le cloud n'aurait pas autant de succès.
Attention hein, les technologies sous-jacentes au cloud sont quand-même impressionnantes, mais les GAFAM se foutent complètement de la sécurité de leurs clients.

Citation Envoyé par Stéphane le calme Voir le message

Comment la législation actuelle pourrait-elle être améliorée pour mieux protéger les citoyens contre les failles de sécurité non divulguées ?
Aucune chance que ça arrive. Les lois sont faites pour aider les riches et les puissants, pas pour protéger la plèbe.

Citation Envoyé par Stéphane le calme Voir le message

Quelles conséquences devraient subir les entreprises qui choisissent de ne pas corriger les vulnérabilités connues pour des raisons financières ?
Aucune. Il faudrait simplement faire fermer les clients, avec par exemple des retraits de licences pour des banques ou des assurances. Là, ça bougerait très très vite.

Citation Envoyé par Stéphane le calme Voir le message

Est-il éthique pour une entreprise de sacrifier la sécurité pour des avantages concurrentiels ?
Non. Ce n'est jamais éthique, mais dans un monde libéral, sans aucune conséquences, c'est cohérent.

Citation Envoyé par Stéphane le calme Voir le message

Quel impact cette révélation pourrait-elle avoir sur la relation entre les entreprises technologiques et les gouvernements ?
Aucune. Si c'est suffisamment médiatisé, le gouvernement US fera semblant de taper du poing sur la table, et si ça fait vraiment trop de foin au point de menacer la santé 'un mastodonte de l'économie US, comme avec Boeing, on retrouvera le lanceur d'alerte suicidé quelque part, et on dira qu'en fait il était dépressif.

Citation Envoyé par Stéphane le calme Voir le message

Les lanceurs d’alerte comme Andrew Harris devraient-ils être protégés ou récompensés pour avoir mis en lumière de telles pratiques ?
Évidemment.

Citation Envoyé par Stéphane le calme Voir le message

Quelles mesures les consommateurs peuvent-ils prendre pour s’assurer que leurs données sont sécurisées ?
C'est quasiment mission impossible: on nous pousse des voitures connectées, des app mobile dans tous les sens, de la sauvegarde automatique dans les clouds des GAFAM. Bref...

Citation Envoyé par Stéphane le calme Voir le message

Comment les récentes cyberattaques influencent-elles votre perception de la sécurité des données dans le cloud ?
Ça ne fait que me conforter dans mon opinion. Kubernetes permet de faire des choses incroyables, à condition de gérer ça sur son infra, et pas sur celle des autres.

On a vu les pertes de données de Google Drive, Solar Winds chez Microsoft, les attaques sur les EDR dont celui de Microsoft (les présentations de la Black Hat Asia sur le sujet étaient hillarantes), les vols de données récurrents (le dernier que j'ai en tête est celui chez Snowflake). Et pourtant, on a des gens qui ne travaillent pas chez ces entreprises et qui défendront corps et âme le fait d'utiliser leurs clouds...

Citation Envoyé par Stéphane le calme Voir le message

Quelle responsabilité les individus ont-ils dans la sécurisation de leurs propres données ?
En temps normal, je dirais que les individus sont responsables, et ils le sont sans doute par complaisance ou par paresse, mais d'un autre côté, les grosses entreprises font tout pour devenir indispensables et se gavent de données.
2  0 
Avatar de ormond94470
Membre actif https://www.developpez.com
Le 07/07/2021 à 8:35
Le mec qui doit désigner un coupable à la roulette est tombé 2x de suite sur la Russie, normalement la règle c'est qu'on retire le dernier désigné... Si tu me lis il doit rester que la Chine, l'Iran et la Corée du Nord. Bonne chance.
3  2 
Avatar de
https://www.developpez.com
Le 07/07/2021 à 22:04
Bonsoir,

Ce n'est pas le gouvernement Russe qui est a blamer ... plutôt les mafias des pays de l'est. On reparle des mafias roumaines, bulgares, hongroises, ukrainiennes et j'en passe ?

Puis bon on accuse toujours "la Russie , la Russie , la Russie " ... A un moment il serait bon aussi de s'interesser à ce qu'ils font. C'est clair que c'est moins glamour de dire qu'on a une solution de sécurité franco-russe ou belgo-russe , qu'une solution amerloc ...

Peut être qu'en s’intéressant plus à la Russie on s'apercevrait que les piratages de viennent pas de chez eux , voir mieux qu'on en aurait pas tout court ! ... C'est plus facile d'accuser et d'isoler en même temps ... La Russie c'est pas la peste non plus ...
4  3 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 14/06/2024 à 18:32
Dans l'attente d'une confirmation de ce lanceur d'alerte, il y aurait parjure et haute trahison de la part de Microsoft et on ne peut littéralement rien y faire tant que les clients n'exigeront pas une meilleure qualité du produit.
Tout ce que je sais sur les différents fournisseurs de cloud seul google est sécurisé. Microsoft Azure, AWS, Apple Cloud, Oracle cloud, IBM cloud tombent tous de l'ordre de quelques millisecondes. Et sans faire de bruit en étant discret. Un véritable scandale la sécurisation des clouds. Sauf Google qui a été sécurisé en partenariat avec Thales. Cela a pris 3 ans. Mais bon c'est du red teaming sauvage tant que j'avais le temps et rien à y gagner à part des coups de fouet.
Et au passage, parmi les états qui disposent de la bombe, seule la France tient le choc : nous nous servons à volonté dans l'arsenal de dissuasion tactique et stratégique russe chinois américain pakistanais indien coréen du nord israélien britannique. Je ne ferais pas ici la liste de ceux qui peuvent se servir mais je ne suis pas tout seul à pouvoir le faire. Je serai eux, avant de penser à déclencher une guerre je me pencherai sérieusement sur la sécurité de leurs armes nucléaires. Nous n'avons fait que désarmer et essentiellement les américains jusqu'ici mais si on insiste, l'holocauste n'est pas loin et très simple à déclencher. Et personne n'y pourra rien. Cela permettra aux pays pauvres de vivre sereinement sans être pris dans un conflit qui ne fait que regarder les russes les chinois et les américains. Et si ce n'est moi qui déclenche l'holocauste ce sera mon frère.
1  0 
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 18/06/2024 à 15:50
Dans l'attente d'une confirmation de ce lanceur d'alerte, il y aurait parjure et haute trahison de la part de Microsoft et on ne peut littéralement rien y faire tant que les clients n'exigeront pas une meilleure qualité du produit.
Tout ce que je sais sur les différents fournisseurs de cloud seul google est sécurisé. Microsoft Azure, AWS, Apple Cloud, Oracle cloud, IBM cloud tombent tous de l'ordre de quelques millisecondes. Et sans faire de bruit en étant discret. Un véritable scandale la sécurisation des clouds. Sauf Google qui a été sécurisé en partenariat avec Thales. Cela a pris 3 ans. Mais bon c'est du red teaming sauvage tant que j'avais le temps et rien à y gagner à part des coups de fouet.
Le but d'une entreprise c'est de faire de l'argent, la sécurité, c'est de la gestion de risque qui est financé selon divers travaux d'estimation (oui, ce qui sort de ces travaux peut ne pas vous plaire ou considérer que les risques lié à la sécurité sont sous évalués) et politique prisent par les entreprises, car la sécurité absolue n'existera jamais.

Non je ne suis pas contre pour plus de sécurité, mais il y'a un moment, faut aussi regarder la réalité en face. Les entreprises n'ont jamais été des organisations généreuses, ce sont des machines a remplir un besoin, le vendre, (ou en créer un) et à optimiser ses coûts. de façon plus ou moins agressive/humaine
1  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 19/06/2024 à 5:25
Citation Envoyé par walfrat Voir le message
Le but d'une entreprise c'est de faire de l'argent, la sécurité, c'est de la gestion de risque qui est financé selon divers travaux d'estimation (oui, ce qui sort de ces travaux peut ne pas vous plaire ou considérer que les risques lié à la sécurité sont sous évalués) et politique prisent par les entreprises, car la sécurité absolue n'existera jamais.

Non je ne suis pas contre pour plus de sécurité, mais il y'a un moment, faut aussi regarder la réalité en face. Les entreprises n'ont jamais été des organisations généreuses, ce sont des machines a remplir un besoin, le vendre, (ou en créer un) et à optimiser ses coûts. de façon plus ou moins agressive/humaine
Bien sûr. Mais comment les entreprises du monde entier peuvent faire du fric si leur SI est troué à la solde des services de renseignement américain ? C'est bien naïf. Et comment les états comptent garder leur secret diplomatique et de la négociation des lois contre l'ingérence et le lobbying ? Et les pays sont tous sujets à corruption. Surtout les pays sous influence américaine ou russe ou chinoise.

Un exemple récent, simple à comprendre et garantie première main : Thales a lancé une recherche très secrète sur le quantique avec l'INRIA et le financement de l'état français. Non seulement ils se sont tout fait gauler par les américains mais les chinois ont tout gauler aux américains.
Où est le profit dans l'histoire ? Thales a quand même réussi à vendre pour 3 milliards de calcul quantique. Mais le marché américain ? Et chinois ? On en fait quoi exactement ?

Autre exemple. Il y a 7 ans j'ai eu un entretien avec serge dassault et Patrice Caine pour connecter le rafale à de l'intelligence artificielle. Thales a développé une puce spécialisée dans les instructions d'IA. et rendu moins gourmande l'IA dont ils disposaient. Résultat leur recherche et développement se retrouvent chez intel et Microsoft pour un gros bide sur le marché du PC. Technologies confidentielles défense soit dit en passant, mais autorisé à la vente aux civils par la DGA. Et là vous allez voir que l'IA générative c'est vraiment de la merde sans l'IA de Thales.

Moralité : utiliser des PC sans trous. Sinon il n'y a plus qu'à mettre la clé sous la porte et arrêter d'entreprendre.
1  0 
Avatar de Coperniqk
Candidat au Club https://www.developpez.com
Le 08/07/2021 à 17:42
Apparemment il y a beaucoup de lèche-bottes de Vladimir Poutine et son modèle de gouvernement par la terreur sur ce forum.
Franchement les cyberactivistes russes feraient mieux de vous recruter pour compléter l'équipe qui est chargé de FAIRE TOMBER L'OCCIDENT pour faciliter la domination du couple Chine-Russie !!!
3  6