Posté le septembre 18, 2020 à 11:46
LES HACKERS PARRAINÉS PAR L’IRAN EXPLOITENT LES FAILLES DU VPN POUR PIRATER DES ORGANISATIONS IMPORTANTES, SELON LE FBI
Les chercheurs en sécurité ont commencé à mettre en garde contre les failles des produits VPN il y a quelques mois, afin d’empêcher les campagnes de vol de données des groupes de hackers parrainés par l’État.
Cependant, il semble que ces hackers n’aient pas reculé, car les chercheurs en sécurité ont vu certains groupes exploiter les failles des VPN dans les organisations informatiques et de santé.
Le logiciel VPN est conçu par des sociétés telles que Pulse Secure et Palo Alto Networks et est utilisé par de grandes organisations dans le monde entier. Lorsqu’ils sont vulnérables, ils offrent un accès incommensurable aux réseaux de ces entreprises, auxquels les hackers soutenus par l’État peuvent accéder pour planter des portes dérobées en vue de futures attaques.
Tout récemment, la CISA et le FBI a émis un communiqué indiquant que des hackers parrainés par l’Iran ciblent des entreprises et des agences fédérales américaines afin d’explorer les vulnérabilités par le biais de connexions VPN.
Le communiqué a été publié dans le cadre d’une alerte commune des deux agences.
Les hackers sont liés à un groupe de hackers qui porte le nom d’UNC757 et Pioneer Kitten, selon l’analyse des procédures, techniques et tactiques des hackers.
Le rapport a révélé que Pioneer Kitten a exploité plusieurs vulnérabilités populaires dans le réseau F5, Citrix NetScaler, et les logiciels Pulse Secure.
En l’état actuel des choses, les hackers ont connu un succès notable dans leurs exploitations jusqu’à présent, les VNP Pulse Secure étant la cible la plus récente.
Les responsables de la CISA et du FBI ont découvert que les acteurs ont profité des vulnérabilités des VPN pour accéder aux réseaux de leurs victimes et ont maintenu pendant plusieurs mois un accès persistant aux réseaux exploités avec succès grâce à différentes techniques.
Les hackers ciblent les entreprises de certains secteurs, notamment le secteur des médias, la finance, les technologies de l’information, le gouvernement, les assurances et le secteur des soins de santé.
En outre, les acteurs de la menace ont profité de services externes à distance sur des actifs connectés à Internet pour obtenir un accès initial au système cible. Ils utilisent également des systèmes d’exploitation et des outils open-source pour mener à bien leurs actes malveillants. Ces outils comprennent des shells web et des reverse proxy rapides.
Des entreprises d’Arabie Saoudite et d’Israël sont également visées
Selon le rapport, les hackers se sont déchainés depuis trois ans, car ils sont liés à divers groupes de hackers. Mais les plus notoires sont les acteurs de la menace parrainés par l’Iran. Cependant, les piratages n’ont pas été perpétrés en même temps. La première vague d’attaques a eu lieu en 2017, avant une autre vague l’année dernière, selon l’organisation de cybersécurité Clearsky.
Le rapport révèle que ces acteurs sponsorisés par l’État continueront à attaquer les organisations tant qu’il y aura des vulnérabilités dans le logiciel VPN qui expose les organisations.
Ohad Zaidenberg, chercheur principal en cyber-intelligence chez Clearsky, a commenté les activités des hackers et a donné les raisons pour lesquelles l’attaque pourrait ne pas s’arrêter de sitôt.
« Nous estimons que les Iraniens continueront à utiliser les vulnérabilités dans leurs attaques avant que les victimes ne les corrigent », a-t-il souligné.
En janvier, les responsables de la sécurité saoudienne ont révélé que dans le cadre d’une attaque d’échange de données, les pirates ont pu exploiter la vulnérabilité du VPN d’une organisation au Moyen-Orient. Quelques jours plus tard, Dragos, une société de sécurité industrielle, a publié un rapport sur certains hackers parrainés par l’Iran, connus sous le nom de Parisite, qui avait ciblé des compagnies d’électricité nord-américaines.
Tout récemment, Microsoft a conseillé aux entreprises de sécuriser leurs données, car le célèbre groupe de hackers APT33 faisait des suppositions de mots de passe à des milliers d’entreprises et d’institutions pour accéder à leur infrastructure.
Le rapport est la preuve que le groupe soutenu par l’Iran ne recule devant rien pour remplir sa mission, qui est d’infiltrer la base de données des principales entreprises et organisations en vue de futures attaques.