Posté le janvier 29, 2021 à 17:24
LE GROUPE DE HACKERS CEDAR A COMPROMIS DES GRANDES ENTREPRISES DE TÉLÉCOMMUNICATIONS
Lebanese Cedar, un groupe affilié au groupe de hackers du Hezbollah, a été associé à la violation des fournisseurs d’accès à Internet (FAI) et des opérateurs d’Atlas Telco, dans plusieurs pays. Le groupe a été découvert en train de pirater ces organisations dans des pays tels que les États-Unis, l’Autorité palestinienne, les Émirats arabes unis, la Jordanie, l’Égypte, Israël, l’Arabie Saoudite, le Royaume-Uni et le Liban.
Les chercheurs de ClearSky Security ont déclaré avoir trouvé des outils de piratage et des activités de réseau irrégulières dans de nombreuses entreprises au début de l’année 2020. Mais les hackers sont restés discrets ces cinq dernières années.
Bien qu’aucune preuve concrète ne relie Cedar à la cyber-unité du Hezbollah, les chercheurs de ClearSky ont déclaré que leurs recherches montrent qu’il existe un lien indéniable entre les deux.
La société de sécurité a également confirmé avoir identifié environ 250 serveurs que Lebanese Cedar a piratés au fil des ans.
Dans un rapport publié aujourd’hui, la société de sécurité a déclaré avoir identifié au moins 250 serveurs web qui ont été piratés par le groupe Lebanese Cedar.
Clearsky a également déclaré que les hackers ont volé des données sensibles à des entreprises du monde entier.
« Il semble que les attaques visaient à recueillir des renseignements et à voler les bases de données de l’entreprise, qui contiennent des données sensibles », a déclaré ClearSky.
Les hackers ont infecté les serveurs Oracle des victimes
Le groupe est connu pour son approche de piratage soigneusement gérée, ciblée de manière sélective et hautement invasive. Clearsky a déclaré que les tactiques du groupe sont les mêmes avec les acteurs malveillants qui sont généralement fondés par des groupes politiques ou des États-nations.
Une nouvelle version de la WebShell V2 « Caterpillar » ou de l’outil d’accès à distance connu sous le nom de RAT V4 « Explosive » a été découverte dans les réseaux ciblés. Les chercheurs en sécurité ont également divulgué le navigateur de fichiers JPS à code source ouvert qui a été mis à jour pour s’adapter aux plans de piratage des acteurs malveillants. Selon le rapport, le code correspond uniquement au groupe de hackers Lebanese Cedar.
Les fichiers ont été installés sur les serveurs Oracle de la victime, ce qui les a exposés aux acteurs malveillants, qui ont installé de nouveaux fichiers malveillants sur leur serveur. La plupart des victimes ciblées et affectées provenaient d’applications, de communications et d’hébergement, ainsi que de sociétés de télécommunications et d’informatique.
La liste des entreprises ciblées depuis le début de leurs activités est longue. Elle comprend les télécommunications Etisalat aux EAU, Mobily en Arabie Saoudite, Jordanian Universities Network LL.C, Hadara en Autorité palestinienne, Secured Servers LLC aux États-Unis et Vodafone en Égypte.
Il se peut que de nombreuses autres entreprises aient été piratées sans que l’entreprise victime n’en ait la moindre idée. Dans la plupart des cas de piratage, les hackers ont conservé leurs logiciels malveillants dans les serveurs des entreprises pendant des années, au fur et à mesure de la collecte de nouvelles informations par les logiciels malveillants.
Les attaques ont suivi un schéma simple
Les analystes de ClearSky ont supposé que les hackers du groupe Lebanese Cedar sont restés sous le radar tout en volant des données sensibles de la société pendant de nombreuses années.
Les chercheurs en sécurité ont déclaré que le groupe de hackers aurait pu utiliser une interface web commune de type shell pour obtenir un accès à distance.
Les chercheurs de ClearSky ont déclaré que les attaques ont suivi un schéma simple, car les hackers ont utilisé des outils de piratage open-source pour scanner les serveurs Oracle et Allassian vulnérables. Après avoir réussi à localiser leurs cibles, ils ont développé des exploits sur les serveurs ciblés et ont installé des shells web pour y accéder à l’avenir.
Les acteurs malveillants ont utilisé des vulnérabilités telles que CVE-2012-3152 dans Oracle Fusion et CVE-2019-11581 dans Atlassian Jira pour lancer des attaques sur les serveurs orientés Internet. Après avoir eu accès aux systèmes ciblés, ils ont installé leurs shells web tels que le navigateur de fichiers JSP, Marmad Warning, Caterpillar 2 et ASPXSpy.
Une autre explication est que les hackers de Lebanese Cedar ont changé de cible et de cible de piratage. Lorsque le groupe a commencé ses opérations, ils ont d’abord utilisé des ordinateurs comme points d’accès. Cependant, le groupe a commencé à cibler le réseau, avant de passer à des serveurs web accessibles au public.
Selon les chercheurs de ClearSky, le serveur web d’Oracle est le serveur le plus souvent ciblé par le groupe.
De plus, il y a des moments où le groupe de hackers est resté sous le radar sans lancer d’attaque. D’après cette observation, leurs périodes d’inactivité ont probablement été utilisées pour développer ou améliorer leurs outils de piratage afin de rester plus puissants.
ClearSky a également découvert que le groupe de hackers utilisait une méthode de piratage très sélective, ce qui est le signe d’une exploration importante.
