« Microsoft Threat Intelligence Center (MSTIC) a découvert une campagne de courrier électronique malveillant à grande échelle exploitée par NOBELIUM, l'acteur de la menace derrière les attaques contre SolarWinds, la porte dérobée SUNBURST, le logiciel malveillant TEARDROP, le logiciel malveillant GoldMax et d'autres composants connexes. La campagne, initialement observée et suivie par Microsoft depuis janvier 2021, a évolué au fil d'une série de vagues démontrant une expérimentation significative. Le 25 mai 2021, la campagne s'est intensifiée lorsque NOBELIUM a exploité le service de messagerie de masse légitime, Constant Contact, pour se faire passer pour une organisation de développement basée aux États-Unis et distribuer des URL malveillantes à une grande variété d'organisations et de secteurs verticaux ».
Et Microsoft d'expliquer que :
« NOBELIUM a toujours ciblé les organisations gouvernementales, les organisations non gouvernementales (ONG), les groupes de réflexion, les militaires, les fournisseurs de services informatiques, la technologie et la recherche en santé et les fournisseurs de télécommunications. Avec cette dernière attaque, NOBELIUM a tenté de cibler environ 3000 comptes individuels dans plus de 150 organisations, en utilisant un modèle établi d'utilisation d'une infrastructure et d'outils uniques pour chaque cible, augmentant ainsi leur capacité à rester non détectés pendant une période de temps plus longue.
« Cette nouvelle campagne de courrier électronique à grande échelle tire parti du service légitime Constant Contact pour envoyer des liens malveillants qui ont été masqués derrière l'URL du service de messagerie (de nombreux services de courrier électronique et de documents fournissent un mécanisme pour simplifier le partage de fichiers, fournissant des informations sur qui et quand les liens sont cliqués). En raison du volume élevé d'e-mails distribués dans le cadre de cette campagne, les systèmes automatisés de détection des menaces par e-mail ont bloqué la plupart des e-mails malveillants et les ont marqués comme spam. Cependant, certains systèmes automatisés de détection des menaces peuvent avoir réussi à remettre certains des e-mails antérieurs aux destinataires soit en raison des paramètres de configuration et de stratégie, soit avant que les détections ne soient en place ».
La campagne NOBELIUM observée par MSTIC diffère considérablement des opérations NOBELIUM qui se sont déroulées de septembre 2019 à janvier 2021, qui incluaient le piratage de la plateforme SolarWinds Orion. Microsoft estime qu'il est probable que ces observations représentent des changements dans le mode opératoire des cybercriminels et une éventuelle expérimentation à la suite de nombreuses révélations d’incidents antérieurs.
Dans le cadre de la découverte initiale de la campagne en février, MSTIC a identifié une vague d'e-mails de phishing qui ont exploité la plateforme Google Firebase pour mettre en scène un fichier ISO contenant du contenu malveillant, tout en exploitant également cette plateforme pour enregistrer les attributs de ceux qui ont accédé à l'URL. MSTIC a retracé le début de cette campagne jusqu'au 28 janvier 2021 ; à ce moment, les cybercriminels effectuaient visiblement des missions de reconnaissance, exploitant les URL Firebase pour enregistrer les cibles qui avaient cliqué dessus, mais sans leur envoyer une charge utile malveillante lors de cette première phase.
Nobelium a lancé les attaques de cette semaine en pénétrant par effraction dans un compte de marketing par courrier électronique utilisé par l'Agence des États-Unis pour le développement international (USAID) et à partir de là, en lançant des attaques de phishing contre de nombreuses autres organisations, a déclaré Microsoft.
« Lors de la campagne du 25 mai, il y a eu plusieurs itérations. Dans un exemple, les e-mails semblent provenir de l'USAID (une agence gouvernementale américaine qui administre l'aide étrangère civile et l'aide au développement) <ashainfo@usaid.gov>, tout en ayant une adresse e-mail d'expéditeur authentique qui correspond au service Constant Contact standard. Cette adresse (qui varie pour chaque destinataire) se termine par @ in.constantcontact.com, et (qui varie pour chaque destinataire), et une adresse de réponse de <mhillary@usaid.gov> a été observée ».
Les e-mails se présentent comme une alerte de l'USAID, comme indiqué ci-dessous.
Les personnes qui ont cliqué sur le lien ont d'abord été envoyées au service légitime de Constant Contact, mais peu de temps après, elles ont été redirigées vers un fichier hébergé sur des serveurs appartenant à Nobelium, a déclaré Microsoft. Une fois les cibles redirigées, JavaScript a amené les appareils des visiteurs à télécharger automatiquement un type de fichier d'archive appelé image ISO.
Comme le montre l'image ci-dessous, l'image ISO contenait un fichier PDF, un fichier LNK nommé Reports et un fichier DLL nommé documents, qui par défaut était masqué.
Contenu du fichier ISO. Il est à noter que «Documents.dll» est un fichier caché.
La société de sécurité FireEye a déclaré qu'en plus du contenu de l'USAID, le groupe de piratage utilisait une variété d'autres leurres, y compris des notes diplomatiques et des invitations d'ambassades. Elle a poursuivi en disant que le ciblage des gouvernements, des groupes de réflexion et des organisations apparentées était un objectif traditionnel des opérations menées par le service de renseignement extérieur, connu sous le nom de SVR.
« Bien que l'activité SolarWinds ait été remarquable pour sa furtivité et sa discipline, les opérations de harponnage bruyantes et larges étaient autrefois la carte de visite des opérateurs SVR qui menaient souvent des campagnes de phishing tapageuses », a commenté John Hultquist, vice-président d'analyse chez Mandiant Threat Intelligence, propriété de FireEye. « Ces opérations ont souvent été efficaces, donnant accès aux principaux bureaux du gouvernement parmi d'autres cibles. Et si les e-mails de spear phishing ont été rapidement identifiés, nous nous attendons à ce que toute action post-compromission de ces acteurs soit hautement qualifiée et furtive ».
La société de sécurité Volexity, quant à elle, a publié jeudi son propre billet qui fournit encore plus de détails. Parmi eux: le fichier Documents.DLL a vérifié les machines cibles pour s'assurer qu'il n'était pas dans un sandbox de sécurité ou dans une machine virtuelle, comme indiqué ici:
Des victimes dans 24 pays au moins
Alors que les organisations aux États-Unis ont constitué la majorité des cibles de ces attaques, les victimes ont été répertoriées dans 24 pays au moins, selon Microsoft. Au moins un quart des organisations ciblées étaient impliquées dans le développement international, les questions humanitaires et les droits de l'homme, a déclaré l'éditeur dans un billet de blog.
Dans des déclarations publiées vendredi, le département de la sécurité intérieure et l'USAID ont tous deux déclaré qu'ils étaient au courant du piratage informatique et qu'ils enquêtaient.
Le piratage de la société de technologie de l'information SolarWinds, qui a été identifié en décembre, a donné accès à des milliers d'entreprises et de bureaux gouvernementaux qui utilisaient ses produits. Le président de Microsoft, Brad Smith, a décrit l'attaque comme « l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue ».
Ce mois-ci, le chef du service de renseignement de la Russie a nié la responsabilité de la cyberattaque SolarWinds, mais s'est dit « flatté » par les accusations des États-Unis et de la Grande-Bretagne selon lesquelles le renseignement étranger russe était à l'origine d'un piratage aussi sophistiqué.
Les États-Unis et la Grande-Bretagne ont blâmé le service russe de renseignement extérieur (SVR), successeur des opérations d'espionnage étrangères du KGB, pour le piratage qui a compromis neuf agences fédérales américaines et des centaines d'entreprises du secteur privé.
Sources : Microsoft, Volexity