Posté le novembre 18, 2021 à 17:16
UNE VULNÉRABILITÉ DE FORTINET OUVRE UNE BRÈCHE AUX HACKERS LIÉS À L’IRAN
Des acteurs parrainés par l’État iranien ont été découverts en train d’exploiter des vulnérabilités dans Fortinet et Microsoft Exchange. Selon les rapports, les hackers lancent ces attaques sur des infrastructures critiques en Australie et aux États-Unis.
Dans un avis conjoint publié par les agences gouvernementales d’Australie, du Royaume-Uni et des États-Unis, les activités des hackers ont été remarquées en mars 2021.
Les cibles sont issues de différentes industries, notamment le secteur de la santé, la finance et le secteur des transports. L’avertissement des autorités de réglementation fait suite à une analyse des six groupes de menaces iraniens par le centre de renseignement sur les menaces de Microsoft (MSTIC).
Les chercheurs du MISTIC ont souligné qu’ils ont découvert trois techniques d’exploitation que les hackers utilisent pour exploiter les réseaux vulnérables. Les hackers sont persistants et plus patients lorsqu’ils attaquent leurs cibles. Ils utilisent également des ransomwares dans leurs attaques pour évincer leurs cibles ou leur dérober des fonds.
Les chercheurs ont également déclaré qu’ils ont suivi six groupes APT iraniens sophistiqués différents depuis septembre de l’année dernière.
Ils utilisent des attaques agressives par force brute ainsi que des campagnes d’ingénierie sociale pour exploiter leurs victimes.
Ces hackers ont lancé des attaques de ransomware cohérentes par vagues. MSTIC dit avoir découvert le groupe Phosphorous, lié à l’Iran, également appelé APT35, TA453 et Charming Kitten, qui cible les failles Fortinet et Microsoft Exchange. L’objectif principal des attaquants est de déployer des ransomwares sur les réseaux vulnérables.
Les attaquants ont compromis les serveurs Exchange sur site
Les chercheurs ont expliqué davantage l’intention d’attaque du groupe via un billet de blog, décrivant une infiltration similaire. Selon MSTIC, les hackers ont compromis leurs cibles en exploitant les vulnérabilités des serveurs Exchange sur site. Ils chiffrent les systèmes et compromettent les environnements de leurs cibles par le biais du ransomware BitLocker.
Les régulateurs ont également noté que le groupe tente d’exploiter l’organisation cible en exploitant ses vulnérabilités lorsque cela est possible. Une fois qu’ils ont réussi à infiltrer les organisations, ils essaient de transformer l’accès initial en extorsion de données, en attaque par ransomware ou en exfiltration.
Après avoir accédé aux serveurs Exchange et Fortinet, les hackers ajoutent des tâches au planificateur de tâches de Windows, créant des comptes sur les contrôleurs de domaine. Ils répliquent ces comptes pour qu’ils ressemblent exactement aux comptes existants afin de dissimuler leur présence. Ensuite, les hackers commencent à activer BitLocker, à laisser une demande de rançon et à récupérer les données par FTP.
Le groupe APT découvert en train de cibler plusieurs entités
Au début du mois d’avril, le CISA et le FBI ont prévenu que des hackers exploitaient activement les bugs du matériel Fortinet. Et en juillet, un rapport conjoint d’autres organismes de réglementation a placé Fortnite parmi les 30 bugs les plus exploités.
Lors de l’alerte d’avril, la CISA a déclaré qu’il semblait que les membres du groupe APT ciblait de multiples services technologiques, des réseaux commerciaux et gouvernementaux. Dans certains cas, ils exploitent ces vulnérabilités pour mener des attaques DDoS à fort impact qui paralysent les réseaux de l’organisation cible. Dans d’autres cas, ils peuvent mener des campagnes de spearphishing, des attaques par injection de langage de requête structuré (SQL) ou des attaques par ransomware.
Les acteurs malveillants ne s’intéressent pas à un secteur spécifique. Leur objectif est plutôt d’implanter leur ransomware dans toute vulnérabilité Microsoft Exchange ou Fortinet qu’ils découvrent.
Le groupe APT iranien a été vu en train de scanner des appareils sur les ports 10443, 8443 et 4443 pour la vulnérabilité FortiOS de Fortinet, très exploitée. Cette vulnérabilité, connue sous le nom de CVE-2018-13379, permet au hacker de télécharger des fichiers système par le biais de requêtes de ressources HTTP spéciales.
Cependant, CVE-2018-13379 n’est qu’un des bugs du VPN SSL de Fortinet que les agences de sécurité ont découvert être utilisé pour accéder aux réseaux. Le rapport indique également que les groupes de hackers ciblent des dispositifs pour les deux autres bugs de FortiOS.
Les hackers exploitent d’autres vulnérabilités
Les hackers iraniens ont été vus en train de cibler l’appliance Fortigate à plusieurs reprises. En juin 2021, des chercheurs en sécurité ont découvert que des APT exploitaient l’appliance Fortigate pour infiltrer les réseaux d’hôpitaux basés aux États-Unis qui fournissent des soins de santé aux enfants. Et en octobre, le groupe de menaces lié au gouvernement iranien a exploité une autre vulnérabilité de Microsoft Exchange Proxyshell connue sous le nom de CVE-2021-34473. Les attaquants cherchaient à obtenir un accès initial aux systèmes de leurs cibles. L’ACSC pense également que la même organisation de menace a profité du même bug pour lancer des attaques contre des entités australiennes.
Après les attaques, les acteurs de la menace ont décidé de modifier les tâches du Planificateur de Tâches pour l’exécution de la charge utile, ils ont créé de nouveaux comptes sur les stations de travail, les serveurs, les répertoires actifs et les contrôleurs de domaine pour obtenir la persistance.
Les acteurs de la menace ont également exploité plusieurs outils tels que l’instrument de gestion de Windows (SharpWMII), le transfert de fichiers (FileZilla), l’archivage de données (WinRAR), l’escalade de privilèges (WinPEAS) et la récolte d’informations d’identification.
