Posté le septembre 3, 2020 à 18:32
DES HACKERS BASÉS EN IRAN VENDENT DES INFORMATIONS À DES SITES WEB COMPROMIS
Pioneer Kitten est un groupe de hackers basé en Iran, spécialisé dans le piratage des infrastructures privées des grands conglomérats. Le groupe est actuellement responsable des informations d’accès au réseau de certaines entreprises dont les données ont été compromises.
Le tristement célèbre groupe de hackers vend ces informations sur des forums privés en ligne. Pioneer Kitten a récemment réussi à exploiter certaines vulnérabilités trouvées dans les équipements de réseau et les systèmes VPN de certaines entreprises pour percer leurs réseaux d’entreprise.
Qui est Pioneer Kitten ?
Pioneer Kitten est un groupe de hackers basé en Iran soutenu par le gouvernement iranien. Il est officiellement connu sous le nom de groupe de menace persistante avancée (APT). Le groupe est également connu sous le nom de Parisite ou Fox Kitten. Le groupe a officiellement commencé ses activités de piratage en 2017.
Le groupe, cependant, travaille de manière autonome et n’est pas dirigé par le gouvernement iranien. Mais le gouvernement a passé un contrat avec le groupe afin de lui fournir un soutien et un appui financier.
L’un des principaux objectifs du groupe est d’obtenir et de maintenir l’accès aux organisations qui pourraient avoir des informations pertinentes pour le gouvernement iranien.
Les hackers vendent l’accès aux réseaux piratés
Récemment, le groupe de hackers a commencé à vendre les informations piratées sur des canaux secrets en ligne. Sur la base d’un rapport de CrowdStrike, le groupe est actuellement engagé dans la vente d’accès au réseau de certaines de ses entreprises victimes afin d’augmenter leurs revenus.
Ce rapport suggère que puisque certaines des données obtenues secrètement par l’entreprise ne sont pas pertinentes pour le gouvernement iranien, le groupe a décidé de vendre ces ensembles de données.
Vers le milieu de l’année 2020, un individu dont on savait qu’il était lié au groupe de hackers a été identifié en faisant de la publicité pour certaines données. Il voulait vendre certaines des informations compromises obtenues frauduleusement par le biais d’un forum privé sur Internet.
Étonnamment, Pioneer Kitten n’est connu que pour avoir fourni ce type d’informations d’accès au réseau à d’autres groupes APT basés en Iran. Parmi ces groupes figurent Elfin, Magnallium, Oilrig, Helix Kitten, Shamoon, Remix Kitten et Chafer. Cependant, en juillet, le groupe a commencé à vendre ce type de données à des hackers intéressés par les forums privés.
La méthode d’attaque
Le groupe de hackers utilise une méthode d’attaque opportuniste. Il s’attaque principalement aux VPN des entreprises en utilisant des outils à code ouvert et en identifiant les failles des systèmes de réseaux organisationnels.
Le groupe mène ses activités de piratage en s’appuyant sur les failles des systèmes externes distants présentes dans les ressources accessibles par Internet. Cela lui permet d’obtenir un accès initial aux informations de ses victimes. Le groupe utilise des outils à code ouvert pour mener à bien ses opérations de piratage.
Cette méthode d’attaque est fréquemment utilisée par les groupes APT basés en Iran pour intégrer de force un canal détourné dans le système de réseau d’entreprises peu méfiantes.
En quelques années, le groupe de hackers a exploité les nombreuses failles des systèmes de réseau et des VPN pour s’attaquer à des entreprises du monde entier. Certaines de ces vulnérabilités sont identifiées comme :
- CVE-2018-13379 – Serveurs VPN de Fortinet qui fonctionnent sur le portail web VPN SSL de Fortis
- CVE-2019-11510 – Serveurs VPN sécurisés par impulsion
- CVE-2019-1579 – Palo Alto met en place un VPN de protection globale
- CVE-2020-5902 – Équilibreurs de charge BIG-IP pour les réseaux F5
- CVE-2019-19781 – CDA Citrix et passerelles de réseau
Certaines des cibles du groupe
Le groupe a une longue liste de cibles qui comprend des multinationales et des gouvernements. Les pays fréquemment visés par Pioneer Kitten sont les États-Unis, les Émirats arabes unis, l’Arabie Saoudite, la Pologne, la Malaisie, le Liban, le Koweït, l’Italie, la Hongrie, la Finlande, l’Autriche, la France, l’Australie, l’Allemagne et Israël.
En outre, certains des secteurs du groupe comprennent la défense, les soins de santé, le gouvernement, la technologie, l’ingénierie, les médias, la vente au détail et les assurances.
Le groupe utilise sa méthode d’attaque contrôlée pour exploiter les données relatives aux soins de santé, à la défense et à la technologie dans des pays qui ne se méfient pas. En raison de la possession d’informations de renseignement pertinentes pour le gouvernement iranien, le groupe a considérablement ciblé les entreprises israéliennes et nord-américaines.
