Dans un rapport publié le 6 décembre 2021, l’Agence nationale de la sécurité des systèmes d’information (Anssi) explique que plusieurs entités françaises ont été visées par des campagnes d’hameçonnage « dont les marqueurs techniques correspondent au mode opératoire de Nobelium ».

Des entités françaises visées par Nobelium

Selon l’Anssi, le mode opératoire d’attaquants (MOA) employé au cours de ces activités malveillantes aurait « permis de compromettre des comptes de messagerie d’organisations françaises, et d’envoyer à partir de ces comptes des courriels piégés à des institutions étrangères ». À l’inverse, plusieurs entités françaises ont reçu des messages piégés, envoyés par des institutions étrangères supposément compromises.

Les experts de l’Agence nationale de la sécurité des systèmes d’information pensent avoir reconnu le groupe de pirates informatiques qui se cache derrière ces attaques. En analysant les différentes campagnes d’hameçonnage, l’Anssi constate des similarités avec des modes opératoires « documentés en source ouverte ». Selon eux, il s’agit de Nobelium. Un MOA qui s’est déjà rendu coupable d’attaques à l’encontre d’entités diplomatiques européennes et américaines.

La Russie se cache-t-elle derrière ce groupe de hackers ?

Nobelium s’est fait connaître du grand public en 2020, pour le piratage massif de SolarWinds. En mai 2021, Microsoft révélait que 150 organisations américaines avaient été piratées par le même groupe que SolarWinds… Ils ont attaqué Constant Contact, une entreprise qui fournit le logiciel d’adresses e-mail utilisé par l’Agence des États-Unis pour le développement international (USAID). Les hackers de Nobelium se sont ensuite servis de 3 000 comptes différents pour envoyer des e-mails piégés.

Plus récemment, Nobelium a ciblé des revendeurs et des fournisseurs de services technologiques. La technique est toujours la même : des e-mails piégés pour l’hameçonnage, le cassage de mot de passe générique en multipliant les essais. Pour les autorités américaines, le gouvernement russe se cache derrière ces pirates. En effet, les États-Unis pensent que les services des renseignements extérieurs de Russie financent les activités de Nobelium.

Selon Tom Burt, vice-président de Microsoft chargé de la sécurité et de la confiance des clients, « la Russie tente d’obtenir un accès systématique à long terme à divers points de la chaîne d’approvisionnement technologique et d’établir un mécanisme pour surveiller, maintenant ou à l’avenir, des cibles qui intéressent le gouvernement russe ».