Posté le août 10, 2020 à 23:23
UN GROUPE DE HACKERS IRANIENS PIRATE LES APPAREILS DE RÉSEAUTAGE F5, AVERTIT LE FBI
Un rapport récent révèle qu’un groupe de hackers iraniens connu sous le nom de Fox Kitten infiltre les appareils de réseautage F5. Sur la base de l’alerte de sécurité lancée par le FBI (Federal Bureau of Investigation) la semaine dernière, le groupe s’attaque au gouvernement américain et au secteur privé.
L’alerte a été envoyée par le FBI en tant que notification du secteur privé. Bien que la notification n’ait pas précisé le nom des hackers, des sources ont indiqué que le groupe est surveillé par une communauté de cybersécurité plus importante et a reçu un nom de code tel que Parasite ou Fox Kitten.
Un analyste de la cybersécurité du gouvernement à la retraite travaillant actuellement avec une société de sécurité privée américaine a déclaré que le groupe est la « pointe de lance » de l’Iran en termes de cyber-attaques.
Il a souligné que la principale tâche du groupe de hackers est de donner aux autres groupes de hackers iraniens une « tête de pont initiale ». Selon l’analyste de la cyber-sécurité, Fox Kitten fournit des rapports pour d’autres groupes iraniens comme Chafer, Oilrig (APT34), et APT33 (Shamoon).
Fox Kitten attaque les appareils de réseautage haut de gamme
Pour atteindre ses objectifs d’attaque, Fox Kitten lance des attaques sur des équipements réseau haut de gamme et coûteux, en utilisant des exploits pour des vulnérabilités récemment signalées avant que l’entreprise concernée ne puisse réparer les appareils.
Les principales cibles du groupe sont les réseaux gouvernementaux et les grandes entreprises privées en raison du type de dispositif qu’elles attaquent.
Une fois que les attaquants ont eu accès au dispositif ciblé, ils installent une porte dérobée ou un shell web, transformant le dispositif en une passerelle vers le réseau piraté.
Sur la base des rapports publiés par les sociétés de cybersécurité Dragos et ClearSky plus tôt dans l’année, cette méthode opérationnelle de Fox Kitten n’a pas été initiée cette année. Le rapport a révélé que le groupe de hackers utilise cette méthode depuis l’été de l’année dernière, lorsqu’il a commencé à exploiter des vulnérabilités majeures.
Les rapports ont révélé que Fox Kitten a initialement ciblé certaines vulnérabilités comme les passerelles réseau Citrix et les serveurs Citric « ADC », les serveurs VPN Palo alto « Global Protect », les serveurs VPN Fortinet FortiOS, ainsi que les VPN d’entreprise Pulse Secure.
La notification du FBI révèle que le Fox Kitten cible toujours les vulnérabilités ci-dessus. Cependant, le groupe a élargi son arsenal d’attaque pour inclure l’exploitation de la vulnérabilité CVE-2020-5902. Il a été révélé au début du mois de juillet que l’exploit affecte le BIG-IP, un dispositif réseau polyvalent populaire fabriqué par le F5 Networks.
Un groupe de piratage partage l’accès avec d’autres groupes iraniens
Le FBI ne désigne pas le syndicat de piratage par son nom connu du public, mais il a fait référence à leurs précédentes attaques contre les passerelles Citrix et les VPN Pulse Secure. Le FBI a également révélé qu’une fois que les hackers auront accédé à leurs réseaux, il est plus probable qu’ils donneront à d’autres hackers iraniens l’accès aux réseaux infiltrés.
Ils pourraient également essayer de déployer des logiciels de rançon et de monétiser des réseaux qui ne sont pas utiles pour le cyber espionnage, a souligné le FBI.
« Après avoir réussi à pirater le serveur VPN, les acteurs obtiennent des références légitimes et établissent la persistance sur le serveur par le biais de web shells », a ajouté le FBI.
L’agence a également averti que le groupe de hackers n’a pas de réseau spécifiquement ciblé, mais que toute entreprise utilisant les dispositifs BIG-IP pourrait être la cible probable du groupe.
Le FBI a donné des détails sur une attaque particulière du groupe Fox Kitten afin de fournir un exemple des méthodes d’attaque du groupe et d’aider les entreprises à établir des méthodes de détection et à développer des contre-mesures. L’agence a également conseillé aux entreprises américaines de raccorder leurs dispositifs BIG-IP sur site afin d’éviter que le groupe n’exploite sa vulnérabilité.
L’agence a également réitéré que le groupe de hackers a utilisé des outils tels que le scanner Angry IP et NMAP pour effectuer une reconnaissance interne.
Les hackers ont utilisé différentes applications de commande et de contrôle (C2) et ont exploité les réseaux des victimes, comme le SSHNET (reverse SSH shell), Plink, ngrok, ainsi que Chisel (tunnel C2).
Deux victimes ont été confirmées
Bien que le rapport du FBI n’inclue aucune victime de l’attaque, une source a révélé que deux entreprises ont déjà été victimes de l’attaque de Fox Kitten. La semaine dernière, un chercheur en sécurité d’une société de cybersécurité basée aux États-Unis a alerté le public et a révélé que Fox Kitten avait réussi à infiltrer deux dispositifs BIG-IP de deux sociétés. La source n’a pas révélé l’identité des entreprises concernées en raison d’accords de non-divulgation.