Posté le février 17, 2020 à 13:41
DES HACKERS IRANIENS INSTALLENT DES PORTES DÉROBÉES DANS LES ENTREPRISES DE VPN EN VUE DE FUTURES ATTAQUES
En 2019, les chercheurs en sécurité étaient nombreux à révéler les principales failles de sécurité des serveurs VPN, notamment ceux vendus par Citrix, Fortinet, Palo Alto Networks, ainsi que Pulse Secure.
Aujourd’hui, un nouveau rapport a été publié, qui montre que les principaux bugs de sécurité provenaient des hackers parrainés par le gouvernement iranien. Ils ont infiltré les systèmes de sécurité de grandes entreprises et d’agences gouvernementales dans le monde entier.
ClearSky, un réseau israélien de cybersécurité, a révélé que les hackers iraniens ciblent des entreprises des secteurs de la sécurité, des gouvernements, de l’aviation, du pétrole et du gaz, de l’unité de télécommunications, ainsi que des départements informatiques.
Certaines cyberattaques ont eu lieu quelques heures avant la révélation au public
Les chercheurs israéliens ont également révélé que les outils utilisés par les hackers iraniens sont moins sophistiqués que ceux de leurs homologues nord-coréens, chinois et russes. Mais les hackers iraniens ont attaqué plus d’organisations, ce qui en fait les principaux hackers soutenus par le gouvernement l’année dernière.
Cependant, ClearSky n’a pas manqué de révéler que les groupes APT iraniens ont développé des capacités techniques plus avancées, ce qui les rend de plus en plus efficaces dans leurs exploits d’un jour sur une courte période.thatthat
Dans certains cas, les chercheurs en sécurité ont déclaré que les hackers iraniens ont exploité des vulnérabilités techniques même quelques heures après que la tentative de piratage ait été rendue publique. L’ATP représente une menace sophistiquée persistante, qui est également un terme utilisé pour décrire les unités de piratage informatique représentées et financées par les gouvernements.
ClearSky a révélé que l’année dernière, les groupes de hackers iraniens ont immédiatement utilisé les faiblesses exposées dans les réseaux VPN Palo Alto Networks, Fortinet FortOS et Pulse Connect Secure.
Les cyber-attaques sur les systèmes ont commencé l’année dernière lorsque les chercheurs ont publiquement divulgué les failles. Cependant, les attaquants ont repris leurs activités cette année, bien qu’à un niveau moindre que l’année dernière, indique ClearSky. De plus, lorsque les failles des VPN ont été divulguées publiquement, les groupes de hackers iraniens ont ajouté les exploits de Citrus « ADC » dans leur attaque.
Les groupes de hackers installent des portes dérobées
Les rapports de ClearSky ont révélé que la principale raison des attaques des hackers iraniens est d’installer des portes dérobées qui les aideraient à exploiter les vulnérabilités. Ils le font en perçant les réseaux d’entreprises.
Dans la première phase de leur attaque, les hackers ont ciblé les VPN. Cependant, la deuxième phase de l’attaque s’est concentrée sur un ensemble de techniques et d’outils, ce qui montre que les attaquants ont en fait progressé dans leur sophistication au cours des dernières années.
Les chercheurs pensent que les hackers iraniens ont toujours l’intention d’attaquer davantage de sociétés et d’institutions cette année. Par exemple, ils ont utilisé un outil d’accessibilité connu sous le nom de «Sticky keys» pour accéder aux droits d’administration sur les systèmes Windows. Par ailleurs, lorsque les hackers n’ont pas trouvé d’utilitaires locaux ou d’outils libres pour les aider dans leurs attaques, ils ont développé des logiciels malveillants personnalisés.AlsoAlso
Les hackers deviennent de plus en plus sophistiqués
Depuis l’année dernière, il y a eu deux nouvelles vagues de logiciels malveillants d’effacement de données, connus sous les noms de Dustman et ZeroCleare. Selon ClearSky, ces logiciels malveillants sont liés aux groupes de hackers iraniens. Ce genre de situation est plausible et possible.
Par ailleurs, les chercheurs de ClearSky n’excluent pas que les hackers puissent lancer des attaques contre la chaîne logistique après avoir piraté avec succès les réseaux de ces entreprises. Selon les chercheurs, cela pourrait offrir davantage de possibilités d’exploitation contre les clients des entreprises concernées.
Pour appuyer cette théorie, le FBI a publié un rapport au début du mois pour mettre en garde les entreprises américaines sur les attaques contre les entreprises de chaînes logistiques en logiciels. Ces entreprises comprennent celles qui soutiennent les systèmes de contrôle industriel pour la distribution, la transmission et la production d’énergie mondiale. De même, le FBI a également révélé qu’il existe un lien entre le groupe de hackers APT33 d’Iran et le code utilisé dans ces attaques.
Plusieurs attaquants travaillent ensemble
Les chercheurs de ClearSky ont également révélé que les hackers iraniens font quelque chose qui n’a pas été fait dans le passé. Selon eux, les attaquants s’associent et agissent comme un seul et même groupe de hackers. Il est donc plus difficile d’associer un groupe de pirates à une tentative de piratage particulière.
Auparavant, les hackers iraniens ont été vus dans différentes activités de piratage, mais il semble qu’ils aient collaboré dans un seul but. Ces activités de piratage, révélées par ClearSky, sont le fait de trois groupes de hackers différents, à savoir Chafer (APT39), Oilrig 9APT34) et Elfin (APT33).
Actuellement, le but principal de ces attaques semble être d’installer des portes dérobées et d’effectuer des reconnaissances pour des opérations de surveillance.
Mais il semble évident qu’ils pourraient également déployer des logiciels malveillants d’effacement de données, capables de saboter des entreprises et de démanteler des opérations commerciales et des réseaux.