L’Anssi alerte sur des campagnes de Nobelium visant des entités françaises
Nobelium, le groupe identifié par Microsoft comme étant à l’origine du piratage de la société SolarWinds en 2020, continue de faire parler de lui et la France n’échappe pas à ses attaques. L’Anssi a tiré la sonnette d’alarme via la publication d’un rapport de sa section Menaces et incident hier. Dans ce document, l’agence nationale de cybersécurité indique avoir identifié « plusieurs campagnes d’hameçonnage contre des entités françaises depuis février 2021 ». Selon l’agence, le groupe d’attaquant vise des organisations françaises, puis utilise ces accès pour envoyer de nouveaux messages piégés à destination d’institutions diplomatiques. Les analystes ont également identifié des mails piégés émanant d’institutions étrangères apparemment compromises à destination d’organisation publiques françaises.
Le message de phishing vise à déposer sur les appareils qui ouvrent la pièce jointe piégée un implant Cobalt Strike, un outil de test d’intrusion fréquemment détourné de son usage par des groupes malveillants afin de prendre le contrôle d’appareils et se déplacer dans le réseau de la cible. L’Anssi ne précise pas quelles organisations ont été visées, ni si les tentatives de cyberattaques détectées sont parvenues à leurs fins.
Comme l’indique l’agence, les différentes campagnes sont associés à un seul et même groupe et les techniques employées par l’attaquant conduisent les analystes de l’Anssi à pointer du doigt Nobelium, un acteur précédemment identifié par Microsoft et d’autres sociétés de cybersécurité comme l’entité à l’origine de l’attaque ayant visé la société Solarwinds aux États Unis en fin d’année 2020. Le gouvernement américain a accusé les services de renseignement russes d’être à l’origine de cette attaque, et le groupe Nobelium décrit par Microsoft serait donc lié de près aux services d’espionnage russes. Suite à ce premier coup d’Éclat, Microsoft et d’autres sociétés de cybersécurité avaient indiqué que le groupe Nobelium avait poursuivi ses campagnes en visant différentes institutions et organisations : des cyberattaques identifiées en mai 2021 par Microsoft avaient montré que le groupe n’avait pas cessé ses activités.
Comme le remarque le Monde, c’est la quatrième fois que l’Anssi désigne un acteur malveillant en utilisant la nomenclature utilisée par d’autres entreprises privées. Si l’agence se défend toujours de faire une attribution officielle des attaques, le recours à ces nomenclatures permet néanmoins de designer des acteurs « connus » du monde de la cybersécurité et de faire passer le message aux groupes d’attaquants. L’agence prend néanmoins soin de ne pas accuser directement un pays, et précise dans son rapport que le groupe d’attaquants à l’origine des campagnes emploie « un mode opératoire » pouvant être assimilé à celui de Nobelium.Une manière de designer l’origine des attaques sans formellement accuser la Russie d’être à l’origine de ces campagnes.
