En décembre 2020, Microsoft a fourni des détails sur ce qui est maintenant considéré comme la cyberattaque la plus vaste et la plus grave de l’histoire – l’attaque NOBELIUM. Cette violation choquante de la sécurité par NOBELIUM, un groupe de pirates russes, a paralysé le monde de la cybersécurité grâce à un piratage bien planifié et bien exécuté. Elle a compromis plusieurs organisations par le biais d’une attaque de la chaîne d’approvisionnement. Même les entreprises dotées de solides systèmes de sécurité se sont retrouvées victimes, et d’autres se sont demandées si elles seraient les prochaines.
Les étapes des attaques NOBELIUM
La première étape de l’attaque d’État de NOBELIUM a été l’intrusion dans l’environnement de ses cibles. Il a obtenu un accès non autorisé au réseau d’une société informatique et a implanté une porte dérobée dans l’un des logiciels de la société. Cette porte dérobée a affecté plusieurs entreprises et organisations gouvernementales qui utilisaient les produits logiciels de la société informatique.
Une fois l’accès obtenu, l’étape suivante de NOBELIUM a été la diffusion de son logiciel malveillant. Il a contourné les défenses de sécurité et masqué ses activités dans les processus réguliers du système en dissimulant son malware dans des couches de code supplémentaire.
Fort d’une solide connaissance des environnements de ses cibles, NOBELIUM a méthodiquement exécuté la dernière partie de son plan. Il a accédé aux codes sources, récolté des adresses électroniques, volé des secrets de premier ordre et diffusé ses logiciels malveillants. Le groupe est allé au-delà de ses tactiques de chaîne d’approvisionnement et a utilisé des techniques de piratage courantes, comme la pulvérisation de mots de passe et le spear phishing, pour obtenir les informations dont il avait besoin.
Microsoft 365 et NOBELIUM
En 2021, Microsoft a publié un rapport avertissant que NOBELIUM ciblait les privilèges administratifs délégués et abusait de la relation de confiance Azure AD et de la plateforme cloud Azure. Microsoft a partagé des informations basées sur son évaluation et a souligné comment la mise en œuvre de l’authentification multifactorielle et la surveillance des journaux d’activité pouvaient aider à tenir de telles attaques à distance.
Il est apparu clairement que NOBELIUM avait reproduit ses activités en ciblant une autre partie de la chaîne d’approvisionnement. Selon Microsoft, plus de 140 revendeurs et fournisseurs de services technologiques étaient devenus des cibles en mai 2021, et près de 14 d’entre eux avaient été compromis.
Historiquement, les attaques des États-nations ciblaient les gouvernements. Ces dernières années, 35% de toutes les attaques d’État-nation ont ciblé des entreprises. Les menaces contre les fournisseurs ont augmenté de 78%, et Microsoft a envoyé 13 000 alertes par courriel sur les attaques d’État-nation à ses clients au cours des deux dernières années.
La défense
Les menaces modernes exigent des solutions modernes. Les attaques du NOBELIUM montrent le niveau de soin et de précision que les adversaires mettent dans la préparation de leurs attaques. Pour détecter, prévenir et se préparer à une telle attaque, il faut avoir une visibilité sur toutes les données de sécurité relatives à vos utilisateurs et à vos terminaux.
Pour en savoir plus sur la gestion et la sécurisation de vos services Microsoft 365 contre des cyberattaques similaires, lisez notre e-book, Les “5 stratégies de renforcement de la sécurité du CISA pour défendre Microsoft 365 contre NOBELIUM“. Préparez-vous aux attaques futures avec ManageEngine.
Source : Protecting your Microsoft 365 services against NOBELIUM attacks [E-book]