Les nouvelles attaques Nobelium rappellent de s’occuper des bases cybernétiques

Une nouvelle campagne d’activités malveillantes du même groupe de cybercriminels qui a causé des perturbations généralisées après avoir percé dans les systèmes de diverses organisations via une mise à niveau contaminée de la plate-forme SolarWinds Orion sert de rappel aux défenseurs que les acteurs malveillants restent très motivés à rechercher de nouveaux vecteurs d’attaque alors que leurs anciens sont fermés.

Les nouvelles de la campagne sont apparues pour la première fois juste avant le week-end des 26 et 27 juin 2021, lorsque le Threat Intelligence Centre de Microsoft a publié une nouvelle annonce de divulgation révélant qu’il suivait les activités provenant du groupe SolarWinds – auquel il attribue le nom Nobelium – exploitant les capacités de support de Microsoft.

Microsoft a révélé que dans le cadre de son enquête sur la nouvelle activité Nobelium, il a trouvé des logiciels malveillants de vol d’informations sur une machine appartenant à l’un de ses agents de support client qui avait accès aux informations de compte de base sur certains clients.

« L’acteur a utilisé ces informations dans certains cas pour lancer des attaques très ciblées dans le cadre de sa campagne plus large. Nous avons réagi rapidement, supprimé l’accès et sécurisé l’appareil », a déclaré l’équipe Microsoft.

« L’enquête est en cours, mais nous pouvons confirmer que nos agents de support sont configurés avec l’ensemble minimal d’autorisations requis dans le cadre de notre approche de confiance zéro « accès le moins privilégié » aux informations client. Nous informons tous les clients touchés et les soutenons pour garantir la sécurité de leurs comptes.

Microsoft a déclaré qu’il était sage de compromettre le système de son personnel après avoir suivi une série d’attaques grossières et pour la plupart infructueuses impliquant des tentatives de pulvérisation de mot de passe et des attaques par force brute. Il estime que trois organisations ont été compromises.

« Ce type d’activité n’est pas nouveau, et nous continuons de recommander à tout le monde de prendre des précautions de sécurité telles que l’activation de l’authentification multifacteur pour protéger leurs environnements contre cette attaque et des attaques similaires », a déclaré Microsoft. « Cette activité renforce l’importance des meilleures pratiques de précautions de sécurité telles que l’architecture zero-trust et l’authentification multifacteur, ainsi que leur importance pour tout le monde. »

L’équipe d’Intel a déclaré que l’activité était clairement destinée à des secteurs spécifiques, principalement les entreprises technologiques et informatiques, les organismes gouvernementaux et un petit nombre d’organisations non gouvernementales (ONG), de thinktanks et d’organisations de services financiers. Près de la moitié des tentatives d’attaques ont été perpétrées contre des organisations basées aux États-Unis, environ 10 % au Royaume-Uni et un plus petit nombre au Canada et en Allemagne.

Ilia Kolochenko d’ImmuniWeb a déclaré que l’exposition de la campagne de Nobelium était une preuve irréfutable que l’hygiène globale de la cybersécurité est, dans une certaine mesure, déficiente.

« La pulvérisation de mots de passe et les attaques de bourrage d’informations d’identification sont évitables en activant l’authentification multifacteur, en restreignant l’accès aux comptes à partir de réseaux spécifiques ou au moins de pays, et peuvent être facilement repérées par les systèmes de détection d’anomalies », a-t-il déclaré. « En outre, un processus de surveillance du dark web correctement mis en œuvre devrait alerter rapidement les organisations sur les informations d’identification volées à mettre hors service d’urgence. Ce sont les bases mêmes de la sécurité de l’information.

Kolochenko a exhorté les organisations à investir dans leurs bases de référence cybernétiques et à mettre en œuvre des stratégies cohérentes afin d’éviter des attaques techniquement non sophistiquées telles que celle de Nobelium, sinon elles poursuivront leur poussée.

Trevor Morgan de Comforte a déclaré que l’activité continue de Nobelium ne devrait pas être une surprise compte tenu de l’histoire récente des attaques du groupe.

« Étant donné que le pourcentage élevé de leurs attaques se concentre sur les entreprises technologiques et les agences gouvernementales, ces organisations ont un niveau élevé de motivation pour aller de manière proactive au-delà des méthodes traditionnelles de protection du périmètre et de l’accès des utilisateurs dans le but de entr venir en tête », a-t-il conseillé.

Cependant, a ajouté Morgan, un problème plus urgent pour de nombreuses organisations était que les informations hautement sensibles ont tendance à être également très précieuses dans les flux de travail de l’entreprise pour des activités telles que l’analyse de données et les tests de développement, de sorte que les outils de sécurité centrés sur les données – tels que la tokenisation – devraient également être pris en compte.