Microsoft s’attaque aux sites du groupe Nickel

Microsoft a annoncé la saisie de dizaines de domaines utilisés dans des cyberattaques par le groupe APT Nickel, basé en Chine, contre des gouvernements et des ONG en Europe, en Amérique et dans les Caraïbes.

Tom Burt, Corporate Vice President, Customer Security & Trust chez Microsoft, a publié deux articles de blog [1, 2] à ce sujet, où il raconte que l’entreprise suivait Nickel depuis 2016, et qu’un tribunal fédéral de Virginie avait accédé à sa demande de saisir les sites web utilisés par le groupe APT pour attaquer des organisations aux Etats-Unis et dans d’autres pays.

Empêcher les sites web d’être utilisés pour des attaques

Selon son récit, Microsoft a déposé plainte le 2 décembre devant un tribunal fédéral américain, afin de pouvoir « couper l’accès de Nickel à ses victimes et d’empêcher les sites web d’être utilisés pour exécuter des attaques ».

« Nous pensons que ces attaques étaient en grande partie utilisées pour la collecte de renseignements auprès d’agences gouvernementales, de groupes de réflexion et d’organisations de défense des droits humains », explique Tom Burt.

« Le tribunal a rapidement accordé une ordonnance, qui a été descellée aujourd’hui, après l’achèvement de la signification aux fournisseurs d’hébergement. Obtenir le contrôle des sites web malveillants et rediriger le trafic de ces sites vers les serveurs sécurisés de Microsoft nous aidera à protéger les victimes actuelles et futures tout en en apprenant davantage sur les activités de Nickel. Notre perturbation n’empêchera pas Nickel de poursuivre d’autres activités de piratage, mais nous pensons avoir supprimé une pièce clé de l’infrastructure sur laquelle le groupe s’appuyait pour cette dernière vague d’attaques. »

Des données volées à travers le monde

Les attaques – qui consistaient à déployer des malwares difficiles à détecter permettant des intrusions, la surveillance et le vol de données – ont visé des organisations en Argentine, à la Barbade, en Bosnie-Herzégovine, au Brésil, en Bulgarie, au Chili, en Colombie, en Croatie, en République dominicaine, en Equateur, au Salvador, en France, au Guatemala, au Honduras, en Hongrie, en Italie, à la Jamaïque, au Mali, au Mexique, au Monténégro, au Panama, au Pérou, au Portugal, en Suisse, à Trinité-et-Tobago, au Royaume-Uni, aux Etats-Unis et au Venezuela.

<

p align=”center”>

Image : Microsoft.

Le Microsoft Threat Intelligence Center constate que Nickel a parfois réussi à compromettre des fournisseurs de VPN ou à obtenir des informations d’identification volées. Dans d’autres cas, le groupe a profité de serveurs Exchange et de systèmes SharePoint non patchés.

Lutter contre le cybercrime d’Etat

Microsoft précise qu’aucune nouvelle vulnérabilité dans les produits Microsoft n’a été utilisée dans le cadre de ces attaques. Mais une fois que les attaquants ont pénétré dans un réseau, ils ont cherché des moyens d’accéder à des comptes plus importants ou à d’autres points d’appui dans le système. Microsoft dit avoir vu des acteurs de Nickel utiliser Mimikatz, WDigest, NTDSDump et d’autres outils de vidage de mots de passe lors d’attaques.

« On trouve généralement une corrélation entre les cibles de Nickel et les intérêts géopolitiques de la Chine. D’autres membres de la communauté de la sécurité qui ont fait des recherches sur ce groupe d’acteurs le désignent sous d’autres noms, notamment “KE3CHANG”, “APT15”, “Vixen Panda”, “Royal APT” et “Playful Dragon” », précise Tom Burt.

« Les attaques soutenues par des Etats continuent de proliférer et de se sophistiquer. Notre objectif, dans ce cas, comme dans les perturbations précédentes qui visaient le baryum, opéré depuis la Chine, le strontium, opéré depuis la Russie, le phosphore, opéré depuis l’Iran, et le thallium, opéré depuis la Corée du Nord, est de démanteler les infrastructures malveillantes, de mieux comprendre les tactiques des acteurs, de protéger nos clients et d’alimenter un débat plus large sur les normes acceptables dans le cyberespace. »

Une faible sécurité dans les réseaux ciblés

Tom Burt ajoute que jusqu’à présent, Microsoft a intenté 24 procès qui lui ont permis de démonter plus de 10 000 sites web malveillants de cybercriminels et près de 600 groupes soutenus par des Etats.

Jake Williams, directeur technique de BreachQuest, souligne que les techniques utilisées par Nickel après être entré dans un système sont plutôt banales, alors qu’il existe de nombreux autres outils, faciles d’accès et largement utilisés par ceux qui tentent de s’introduire dans des réseaux.

« Nickel a certainement accès à des outils beaucoup plus performants, mais le groupe privilégie ces outils basiques parce qu’ils fonctionnent », estime-t-il. « Le fait que ces outils facilement disponibles fonctionnent témoigne du niveau de sécurité des réseaux ciblés. »

Source : ZDNet.com