Décidément, les groupes de cybercriminels ont de la suite dans les idées. Quelques mois après avoir fait vaciller la sécurité de plusieurs organismes gouvernementaux et entreprises en détournant le logiciel de supervision Orion de SolarWinds, le gang Nobelium refait parler de lui. Aussi appelé APT29, Cozy Bear et The Dukes, le groupe proche de l’Etat russe aurait, selon un blog de Microsoft, mené des attaques par pulvérisation de mots de passe et par force brute pour accéder aux réseaux d’entreprise. L’éditeur en a été une victime.

En effet, au cours de l’enquête, la firme de Redmond a trouvé un mouchard sur le PC d’un agent du support client. Ce malware a pu accéder « à des informations sur les comptes d’un nombre limité de clients », rapporte le blog. Le gang Nobelium s’est servi de ces informations pour mener des campagnes de phishing ciblées contre les clients de Microsoft. Ce dernier a alerté par courriel les organisations concernées.

Les entreprises IT particulièrement visées

Sur le modus operandi, les deux types d’attaque utilisées sont similaires. Celles par pulvérisation tentent d’utiliser les mêmes mots de passe sur plusieurs comptes simultanément. En revanche, l’offensive par force brute cible de manière répétée un seul compte avec différentes tentatives de mots de passe.

Microsoft précise que ces attaques « ont visé des clients spécifiques, principalement des entreprises IT (57%), des organisations gouvernementales (20%) et dans une moindre mesure des ONG et des think tanks, ainsi que des services financiers ». Il ajoute que « l’activité s’est largement concentrée sur les intérêts américains, environ 45%, suivis par 10% au Royaume-Uni et de plus petits nombres en Allemagne et au Canada. Au total, 36 pays ont été ciblés ».