Le gouvernement américain, ainsi que ses homologues australiens et britanniques, ont averti hier que des pirates informatiques soutenus par l'État iranien ciblent des organisations américaines dans des secteurs d'infrastructures critiques et dans certains cas avec des ransomwares. L'avertissement est remarquable car, même si les attaques par ransomware restent fréquentes aux États-Unis, la plupart des attaques importantes de l'année dernière ont été attribuées à des bandes de pirates criminels basées en Russie plutôt qu'à des pirates iraniens. Les responsables gouvernementaux ne sont pas les seuls à remarquer l'activité iranienne, le géant technologique Microsoft a déclaré avoir remarqué six groupes différents déployer des ransomwares en Iran.L’avertissement liant l'Iran aux ransomwares a été publié hier dans un avis conjoint de la Cybersecurity and Infrastructure Security Agency (CISA), du Federal Bureau of Investigation (FBI), de l'Australian Cyber Security Centre (ACSC) et du National Cyber Security Centre (NCSC) du Royaume-Uni. L'avis indique que des attaquants soutenus par l'Iran exploitent les vulnérabilités de Fortinet depuis au moins le mois de mars et une vulnérabilité de Microsoft Exchange ProxyShell depuis le mois d'octobre pour accéder à des organisations américaines d'infrastructures sensibles dans les secteurs des transports et de la santé publique. Les pirates lancent ensuite des opérations de suivi qui incluent le déploiement de ransomwares. Selon les autorités, le groupe a utilisé la même vulnérabilité de Microsoft Exchange en Australie.
Un large éventail de cibles
Toutes les vulnérabilités identifiées ont été corrigées, mais tous les utilisateurs de ces produits n'ont pas installé les mises à jour. L'objectif des pirates est, à terme, de tirer parti de cet accès pour mener des opérations de suivi telles que l'exfiltration de données, l'extorsion et le déploiement de ransomwares.
« Les acteurs APT (Advanced Persistent Threat) parrainés par le gouvernement iranien ciblent activement un large éventail de victimes dans plusieurs secteurs d'infrastructures critiques américains, notamment le secteur des transports et le secteur des soins de santé et de la santé publique, ainsi que des organisations australiennes... Le FBI, le CISA, l'ACSC et le NCSC estiment que ces acteurs se concentrent sur l'exploitation de vulnérabilités connues plutôt que sur des secteurs spécifiques. Ces acteurs APT parrainés par le gouvernement iranien peuvent tirer parti de cet accès pour des opérations de suivi, telles que l'exfiltration ou le chiffrement de données, les ransomwares et l'extorsion », indique l'avis.
En mai, les attaquants ont ciblé une municipalité américaine non identifiée, où ils ont probablement créé un compte avec le nom d'utilisateur "elie" pour s'infiltrer dans le réseau compromis. Un mois plus tard, ils ont piraté un hôpital américain spécialisé dans les soins de santé pour enfants. Le mois dernier, les acteurs de l'APT ont exploité des vulnérabilités de Microsoft Exchange qui leur ont donné un accès initial aux systèmes en prévision d'opérations ultérieures. Les autorités australiennes ont déclaré avoir également observé le groupe exploitant la faille Exchange.
Les responsables gouvernementaux ne sont pas les seuls à remarquer l'activité iranienne
L'avis conjoint a été publié parallèlement à un rapport distinct de Microsoft sur l'évolution des APT iraniennes, qui « utilisent de plus en plus les ransomwares pour collecter des fonds ou perturber leurs cibles ». Dans ce rapport, Microsoft indique avoir suivi six groupes de menaces iraniens qui ont déployé des ransomwares et exfiltré des données dans le cadre d'attaques qui ont débuté en septembre 2020.
Microsoft distingue un groupe particulièrement "agressif" qu'il appelle Phosphorus, également connu sous le nom d'APT35, que l'entreprise suit depuis deux ans. Alors qu'il utilisait auparavant des courriels d'hameçonnage pour attirer des victimes, notamment des candidats à l'élection présidentielle de 2020, Microsoft affirme que le groupe utilise désormais des tactiques d'ingénierie sociale pour établir une relation avec ses victimes avant d'utiliser BitLocker, une fonction de chiffrement de disque complet intégrée à Windows, pour chiffrer leurs fichiers.
Selon Microsoft, le groupe utilise de fausses invitations à des conférences ou des demandes d'interview et se fait souvent passer pour des responsables de groupes de réflexion à Washington, D.C., comme couverture. Une fois le rapport établi et le lien malveillant envoyé, les Iraniens redoublent d'efforts pour inciter leurs victimes à cliquer dessus, a déclaré James Elliott, membre du Microsoft Threat Intelligence Center. « Ces gars-là sont la plus grande douleur dans le dos. Toutes les deux heures, ils envoient un courriel », a déclaré Elliott lors de la conférence sur la cybersécurité Cyberwarcon, mardi.
Au début de l'année, Facebook a annoncé qu'il avait découvert des pirates iraniens utilisant de "fausses personnalités en ligne sophistiquées" pour gagner la confiance de leurs cibles et les inciter à cliquer sur des liens malveillants. Ils se faisaient souvent passer pour des recruteurs d'entreprises du secteur de la défense et de l'aérospatiale.
Attention aux comptes d'utilisateurs non reconnus
La CISA et le FBI exhortent les organisations à prendre une série de mesures pour atténuer les menaces posées par les attaquants iraniens, notamment en mettant à jour les systèmes d'exploitation, en mettant en place une segmentation du réseau et en utilisant une authentification multifactorielle et des mots de passe forts.
Les pirates peuvent avoir créé de nouveaux comptes d'utilisateur sur les contrôleurs de domaine, les serveurs, les postes de travail et les répertoires actifs des réseaux qu'ils ont compromis. Certains de ces comptes semblent imiter des comptes existants, de sorte que les noms d'utilisateur sont souvent différents d'une organisation ciblée à l'autre. L'avis indique que le personnel chargé de la sécurité du réseau doit rechercher les comptes non reconnus, en accordant une attention particulière aux noms d'utilisateur tels que Support, Help, elie et WADGUtilityAccount.
Sources : CISA, Microsoft
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
L'Iran recrute des talents en ligne pour mener des opérations de cyberattaques rapides, dans le but de répondre aux décisions politiques L'Iran aurait-il commencé sa cyberoffensive contre les États-Unis ? Des hackers pro-Iran piratent un site gouvernemental, pour y afficher une image de Donald Trump qui se fait frapper L'Iran interdit à son tour l'usage de l'application Telegram, peu de temps après l'adoption d'une mesure similaire par la Russie L'armée US prévoit des améliorations cybernétiques pour fusionner les humains et les machines à l'horizon 2050, des soldats qui ont une vue surhumaine, des muscles augmentés contrôlables