Autre signe que les pirates informatiques russes qui ont piraté le logiciel de surveillance du réseau SolarWinds pour compromettre un grand nombre d’entités ne sont jamais vraiment partis, Microsoft a déclaré que l’acteur de la menace derrière les cyberactivités malveillantes a utilisé la pulvérisation de mots de passe et des attaques par force brute pour tenter de deviner les mots de passe et accéder à ses comptes clients.
« Cette activité récente a été pour la plupart infructueuse, et la majorité des cibles n’ont pas été compromises avec succès – nous sommes au courant de trois entités compromises à ce jour », Threat Intelligence Center du géant de la technologie. mentionné Vendredi. « Tous les clients qui ont été compromis ou ciblés sont contactés via notre processus de notification de l’État-nation. »
Le développement a d’abord été signalé par le service d’information Reuters. Les noms des victimes n’ont pas été révélés.
La dernière vague d’une série d’intrusions aurait principalement ciblé les entreprises informatiques, suivies des agences gouvernementales, des organisations non gouvernementales, des groupes de réflexion et des services financiers, avec 45% des attaques localisées aux États-Unis, au Royaume-Uni, en Allemagne et en Allemagne. Canada.
Nobelium est le nom attribué par Microsoft à l’adversaire étatique responsable des attaques sans précédent de la chaîne d’approvisionnement SolarWinds qui ont été révélées l’année dernière. Il est suivi par l’ensemble de la communauté de la cybersécurité sous les surnoms APT29, UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) et Iron Ritual (Secureworks).
En outre, Microsoft a déclaré avoir détecté des logiciels malveillants voleurs d’informations sur une machine appartenant à l’un de ses agents de support client, qui avait accès aux informations de base des comptes pour un petit nombre de ses clients.
Les informations volées sur les clients ont ensuite été utilisées « dans certains cas » pour lancer des attaques très ciblées dans le cadre d’une campagne plus large, a noté la société, ajoutant qu’elle avait agi rapidement pour sécuriser l’appareil. L’enquête sur l’incident est toujours en cours.
La révélation que les pirates ont mis en place une nouvelle branche de la campagne intervient un mois après que Nobelium a ciblé plus de 150 organisations différentes situées dans 24 pays en exploitant un compte USAID compromis dans une société de marketing par e-mail de masse appelée Constant Contact pour envoyer des e-mails de phishing qui ont permis au groupe de déployer des portes dérobées capables de voler des informations précieuses.
Le développement marque également la deuxième fois que l’acteur de la menace a distingué Microsoft après que la société a révélé plus tôt en février que les attaquants ont réussi à compromettre son réseau pour afficher le code source lié à ses produits et services, notamment Azure, Intune et Exchange.
De plus, la divulgation intervient alors que la Securities and Exchange Commission (SEC) des États-Unis a ouvert une enquête sur la violation de SolarWinds pour examiner si certaines victimes du piratage n’avaient pas divulgué publiquement l’événement de sécurité, Reuters signalé La semaine dernière.
