Les cybercriminels russes à l'origine d'une vaste attaque informatique aux Etats-Unis révélée fin 2020 ont lancé une nouvelle série d'offensives contre des agences gouvernementales américaines, et plus de 150 organisations, a affirmé Microsoft.
Dans un article de blog publié jeudi soir, des chercheurs en cybersécurité de Microsoft ont assuré qu'un groupe, connu sous le nom de Nobelium, avait intensifié ses efforts pour s'en prendre à des agences fédérales, mais aussi des groupes de réflexion et des ONG, liés à la politique étrangère américaine en vue de voler des informations sensibles.
Pour mener ces attaques, qualifiées par Microsoft de «sophistiquées» et «de grande envergure», les pirates ont recours au hameçonnage ("phishing"), une méthode qui consiste à envoyer des courriels qui semblent authentiques mais contiennent des logiciels malveillants permettant d'accéder aux données des victimes.
Plus de 3.000 comptes de messageries électroniques ont été ciblés, a indiqué Tom Burt, vice-président chez Microsoft.
L'annonce de ces attaques intervient un mois après que Washington a imposé des sanctions financières contre Moscou et expulsé des diplomates russes en réaction au piratage massif de l'éditeur de logiciels de gestion informatique SolarWinds l'an dernier.
Washington accuse le Service russe des renseignements extérieurs (SVR) d'avoir orchestré cette cyberattaque, qui a affecté jusqu'à 18.000 clients de SolarWinds et plus d'une centaine de sociétés américaines, tandis que Moscou nie toute implication.
Ces tensions pourraient être au menu du premier sommet entre le président américain Joe Biden et son homologue russe Vladimir Poutine, qui se tiendra le 16 juin à Genève, en Suisse.
«Alerte spéciale»
Les similitudes entre la dernière cyberattaque en date et l'offensive contre SolarWinds montrent clairement que «la stratégie de Nobelium consiste à accéder à des fournisseurs réputés de technologie et de contaminer leurs clients», explique M. Burt.
«En tirant parti de mises à jour de logiciels et désormais de grands fournisseurs de messagerie électronique, Nobelium augmente les chances de dommage collatéral dans les activités d'espionnage et sape la confiance dans l'écosystème technologique."
Microsoft précise que les pirates ont notamment réussi à s'emparer d'un compte de messagerie de l'Agence des États‑Unis pour le développement international (USAID), hébergé sur la plateforme Constant Contact, et à envoyer des courriels frauduleux à de nombreux destinataires.
L'un des messages, prétendant être une «alerte spéciale», visait à faire croire que «Donald Trump a publié de nouveaux documents sur la fraude électorale». En cliquant sur le lien, les récipiendaires étaient redirigés vers un site permettant aux pirates d'installer leur logiciel malveillant.
«Cette attaque est toujours en cours et ces exemples ne doivent pas être considérés comme exhaustifs», a précisé Microsoft.
Sanctions «insuffisantes»
L'entreprise américaine de sécurité informatique Volexity, qui a également identifié le piratage, a estimé que «l'assaillant avait probablement rencontré un certain succès pour exploiter les failles de sécurité de ses cibles».
Dans un article de blog publié jeudi, le groupe reconnait ne pas être en mesure de confirmer l'identité des pirates, mais affirme que l'attaque «a les caractéristiques d'un acteur menaçant connu avec lequel (Volexity) a eu à faire à de multiples occasions» et qui se fait appeler APT29.
Pour John Dickson, spécialiste en cybersécurité chez Denim Group, le piratage suggère que les dernières sanctions imposées par Washington à Moscou sont insuffisantes.
«Je pense que les santions sont un point de départ et qu'il faut les faire monter d'un cran», a indiqué M. Dickson à l'AFP. L'expert estime que les multiples offensives russes sont «différentes variations d'une même campagne d'espionnage» approuvée par le Kremlin et qu'elles sont menées «sans la moindre crainte de représailles».