Posté le janvier 9, 2020 à 6:06
LA COMPAGNIE PÉTROLIÈRE NATIONALE DE BAHREÏN, BAPCO, ATTAQUÉE PAR UN NOUVEAU LOGICIEL MALVEILLANT IRANIEN
Un groupe de hackers iraniens, qui seraient parrainés par le gouvernement iranien, a installé des logiciels malveillants sur les systèmes de la compagnie pétrolière nationale du Bahreïn, Bapco. Les attaquants ont infiltré le système le 29 décembre, mais ils n’ont pas réussi à trouver un point faible important sur le système. Même après l’infiltration du logiciel malveillant, Bapco était toujours en mesure de faire fonctionner la plupart de ses systèmes.
La cyberattaque a été la même que celle annoncée par l’Autorité de sécurité nationale d’Arabie Saoudite la semaine dernière. Lorsqu’elle s’est produite, les autorités saoudiennes ont informé d’autres entreprises locales du marché de l’énergie de fortifier leurs systèmes et de maintenir des portails sécurisés.
Cette nouvelle de cyberattaque arrive au moment où les Etats-Unis et l’Iran s’affrontent suite aux tensions politiques entre les deux pays. Les chercheurs en cybersécurité examinent toujours les différents angles sous lesquels l’Iran pourrait riposter à l’assassinat de son général par un drone américain.
Le logiciel malveillant Dustman est à l’origine de l’attaque
Les rapports des autorités de sécurité saoudiennes ont révélé que le logiciel malveillant Dustman a été utilisé dans l’attaque de Bapco. D’après le rapport, le Dustman fonctionne un peu différemment des autres logiciels malveillants. Il a été spécialement développé pour infecter les systèmes et supprimer les données des systèmes infectés une fois qu’il est exécuté. Ce logiciel malveillant est maintenant le troisième logiciel malveillant de suppression de données qui est lié au gouvernement iranien, en particulier au régime de Téhéran.
Les souches de logiciels malveillants utilisent différentes techniques et exploits afin d’augmenter leur accès aux systèmes au niveau de l’administrateur. De là, ils peuvent libérer les souches via le protocole RawDisk d’EldoS pour effacer les données des systèmes.
Bien que les autorités saoudiennes aient déclaré que le logiciel malveillant Dustman est une version avancée du ZeroCleare, il présente deux différences majeures. Alors que ZeroCleare efface un volume, Dustman écrase le volume entier et le remplace par les données de la poubelle. Deuxièmement, alors que ZeroCleare détruit et s’exécute sur deux fichiers, la capacité de destruction de Dustman n’est exécutée que dans un seul fichier.
BAPCO : une cible parfaite pour les hackers iraniens
Selon les chercheurs en sécurité, la cyber-attaque sur Bapco par les hackers iraniens est conforme aux méthodes opérationnelles des attaquants. Même avant l’attaque du 29 décembre, les hackers ont toujours utilisé les logiciels malveillants ZeroCleare et Shamoon uniquement sur les compagnies pétrolières et gazières. La plupart des attaques associées aux logiciels malveillants sont toutes liées à des sociétés pétrolières et gazières gouvernementales ou privées.
Les relations entre l’Arabie saoudite et l’Iran sont également tendues
Les hackers ont déjà attaqué la compagnie pétrolière nationale d’Arabie Saoudite et des compagnies pétrolières associées à Saudi Aramco.
Les relations entre l’Arabie Saoudite et l’Iran n’ont pas été aussi bonnes depuis les années 1970, en raison de la concurrence sur le marché de l’exportation du pétrole et de leur interprétation divergente des lois islamiques.
Et l’attaque contre Bapco est la preuve de ces relations tendues. L’entreprise est entièrement détenue par le régime de Bahreïn, qui a un partenariat solide avec Saudi Aramco.
L’incident ne peut pas être lié à la situation US-Iran
Compte tenu de l’heure et du lieu où l’attaque a eu lieu, il se peut qu’il y ait peu de liens entre l’incident de Bapco et la tension politique actuelle entre l’Iran et les États-Unis. Toutefois, il souligne que l’Iran dispose d’une technologie sophistiquée pour lancer avec succès des cyberattaques très intelligentes. Au cours du week-end, le ministère américain de la sécurité intérieure a informé les entreprises et les industries qu’elles devaient intensifier leurs efforts pour protéger leur système.
L’Iran a des souches de logiciels malveillants de suppression de données
Le premier logiciel de suppression de données développé par l’Iran a été Shamoon, qui est apparu en 2012. Lors de sa création, les attaquants l’ont utilisé pour effacer les données de plus de 32 000 systèmes de la compagnie pétrolière saoudienne Aramco. À ce jour, cette attaque est toujours l’une des cyber-attaques les plus notoires de l’histoire mondiale.
Plus tard, les hackers ont introduit deux autres versions du logiciel malveillant, le Shamoon v2 et le Shamoon v3. Le second logiciel malveillant a été utilisé entre 2016 et 2018, tandis que le troisième a été utilisé entre 2018 et 2019.
D’autres variantes de logiciels malveillants de suppression de données existent toujours
IBMX-Force a publié récemment un rapport indiquant qu’il existe d’autres logiciels malveillants de suppression de données liés à ces attaquants iraniens au fil des ans. Il y en a un récent, connu sous le nom de ZeroCleare, qui a été détecté pour la première fois en septembre de l’année dernière.
Selon les responsables de la sécurité saoudienne, le logiciel malveillant Dustman est une version plus avancée et plus sophistiquée de l’effaceur de données ZeroCleare. Il possède une variété de codes similaires à ceux du premier logiciel malveillant découvert en septembre dernier.
Le groupe de sécurité a déclaré qu’EldoS RawDisk est le principal composant utilisé par les hackers pour interagir avec les partitions, les disques et les fichiers parmi les trois souches de logiciels malveillants.
