Nobelium : l'organisation à l'origine d'un des plus grands cyberespionnage de l'histoire vise la France

Le Cert français, chargé d'avertir sur les plus grandes cybermenaces, a prévenu dans un bulletin d'alerte que Nobelium vise depuis le début de l'année les organisations françaises. Derrière ce nom se trouve les individus à l'origine du piratage de SolarWinds et du gouvernement américain l'an dernier. De quoi s'inquiéter ? Oui et non. Les cibles de Nobelium sont, en principe, conscientes de la menace qui pèse sur elles.
François Manens

6 mn

(Crédits : Eric Gaillard)

Nobelium. Il y a tout juste un an, des entreprises de cybersécurité, dont Microsoft et FireEye, associaient ce nom à l'une des plus grandes opérations de cyberespionnage de l'histoire. Les hackers de Nobelium avaient réussi à infecter discrètement le logiciel Orion de l'entreprise américaine SolarWinds. Leur code malveillant, embarqué dans les mises à jour officielles d'Orion, leur avait permis de s'ouvrir des accès aux réseaux informatiques de dizaines d'organisations clientes du logiciel. Parmi les victimes se trouvaient des entreprises mais surtout plusieurs branches du gouvernement américain, toutes visées pour leurs informations stratégiques.

Un an après, le 6 décembre, c'est au tour du Cert de l'Anssi, l'organisme en charge d'alerter sur les principales menaces qui visent les organisations françaises, d'évoquer le nom Nobelium.

"L'Anssi a observé plusieurs campagnes d'hameçonnage [envoi d'emails malveillants, ndlr] contre des entités françaises depuis février 2021 dont les marqueurs techniques correspondent au mode opératoire Nobelium. Ces campagnes ont permis de compromettre des comptes de messagerie d'organisations françaises, et d'envoyer à partir de ces comptes des courriels piégés à des institutions étrangères", écrit le Cert dans son alerte.

Au travers du rapport, l'Anssi donne des indicateurs techniques qui devraient permettre aux défenseurs de mieux se protéger contre le groupe de cyberespions, du moins temporairement.

L'Anssi alerte sur du cyberespionnage

Nobelium fait partie de la catégorie des "menaces avancées persistantes", connues sous l'acronyme APT, qui désigne des organisations le plus souvent financés par des Etats. « Dans cette appellation, le terme le plus important, c'est "persistant". Les APT vont cibler sans cesse les mêmes entités, là où les organisations cybercriminelles choisissent les cibles les plus faciles à attaquer », explique à La Tribune Matthieu Faou, chercheur sur ces menaces pour l'entreprise Eset. Il n'est donc pas surprenant que Nobelium soit réapparu peu après l'affaire SolarWinds, malgré les menaces de sanctions par le pouvoir américain.

Si l'action des APT s'inscrit sur la durée, c'est parce que leurs objectifs relèvent du cyberespionnage : elles cherchent avant tout à collecter des informations stratégiques, industrielles ou gouvernementales. Pour y parvenir, elles doivent s'infiltrer le plus discrètement possible dans les systèmes informatiques des victimes, puis parvenir à échapper aux mécanismes de détection le plus longtemps possible.

Nobelium, pour sa part, a deux types de cibles privilégiées : les diplomates d'un côté, et les organisations, à l'instar de SolarWinds, qui permettent de toucher un grand nombre de cibles par rebond. En principe, les cibles de Nobelium savent qu'elles sont dans son viseur, ou du moins, qu'elles doivent avoir un niveau de sécurité suffisamment haut pour l'intérêt stratégique qu'elles représentent.

Entre méthodes triviales et cyberespionnage de pointe

Concrètement, lorsque les pirates de l'APT compromettent l'ordinateur d'une cible, ils installent chez elle un "shell", une sorte d'interface de contrôle parallèle, dont ils se servent pour envoyer des messages et contaminer d'autres personnes. C'est ainsi que l'Anssi explique que les entités françaises ont reçu des emails malveillants d'organisations étrangères, et inversement.

L'agence précise que la « méthode d'intrusion initiale est inconnue », et il faut dire que Nobelium a à sa disposition un large arsenal de techniques, des plus triviales aux plus complexes. Dans les récentes campagnes de hameçonnage que Eset a observé - par vagues espacées deux mois - les pirates imitaient parfaitement le type de courriers reçus par les diplomates, comme des rapports lié à leur activité, ou des invitations à des diners d'ambassade. En revanche, Matthieu Faou s'est étonné de la pauvreté technique des plus récentes : « certaines chaînes d'attaque nécessitent entre 4 et 5 clics de la cible avant de l'infecter, mais aussi d'ouvrir des extensions de fichiers étranges, comme le .iso, un format utilisé pour le stockage dans les CD-ROM. »

Or, plus un hameçonnage requiert de clic, moins il a de chance de fonctionner, puisque chaque clic donne une chance de plus à la cible de se rendre compte de la supercherie.

A l'inverse de ce constat, l'entreprise Mandiant a identifié dans un rapport publié le 6 décembre de nouvelles techniques de Nobelium pour échapper aux détections et rester sur le système des victimes. Et ce n'est pas tout : les pirates ont aussi réussi à mobiliser des canaux inhabituels pour atteindre leurs cibles. Ils ont par exemple réussi à obtenir des accès privilégiés à des fournisseurs de cloud, dont ils se sont servis pour toucher les clients du fournisseur, leur cible finale. Ou encore, ils sont parvenus à voler des jetons de session, des cookies d'authentification qui permettent (dans certains cas) de se connecter à un compte sans en avoir le mot de passe.

L'attribution, un jeu d'équilibriste

Particulièrement actif, Nobelium a reçu plusieurs dénominations - comme APT29 ou Cozy Bear - depuis les premières détection de son activité en 2008. Mais si son nom est aussi connu, c'est parce qu'il présente une particularité rare : la Maison-Blanche a attribué son attaque contre SolarWinds au SVR, une des branches du renseignement militaire russe. Autrement dit, d'après les Etats-Unis, le gouvernement russe se cache derrière les campagnes de Nobelium. Ce genre d'attribution précise reste un fait diplomatique inhabituel, car même les entreprises les plus bavardes se contentent en général de désigner le potentiel pays d'origine des attaquants. « Essayer de faire de l'attribution avec seulement des éléments techniques, c'est avoir 50% de risques de se tromper », met en garde Matthieu Faou. « On peut supposer que le gouvernement américain avait accès à d'autres éléments que nous n'avons pas. »

L'Anssi se montre de son côté plus prudente que ses homologues américains : elle se contente de désigner un "mode opératoire", c'est-à-dire un ensemble d'outils et de techniques d'attaque utilisées conjointement. Autrement dit, elle affirme que les attaques contre les entités françaises exploitent le mode opératoire de Nobelium, mais sans désigner le groupe lui-même, et surtout, sans faire de lien avec le renseignement russe. Ce jeu sur les mots a son importance dans le jeu diplomatique. D'ailleurs, même ce genre d'attribution prudente à un mode opératoire reste très rare pour l'Anssi, avec le seul cas Centreon en 2020.

François Manens

6 mn

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 09/12/2021 à 8:02
Signaler
Mouais bon enfin quand on bosse dans des entreprises sensibles à l'espionnage de toute sorte on ouvre pas des mails inconnus hein, comme on ne laisse pas les salariés regarder du porno au boulot, au pire on l'écrit en gros dans tous les bureaux.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.