Le gouvernement américain a imposé jeudi sanctions radicales contre un acteur de la menace iranien soutenu par le ministère du Renseignement et de la Sécurité (MOIS) du pays pour avoir mené des campagnes de malwares ciblant des dissidents iraniens, des journalistes et des entreprises internationales dans les secteurs des télécommunications et du voyage.
Selon le Trésor américain et le Federal Bureau of Investigation (FBI), les sanctions visent Rana Intelligence Computing Company (ou Rana), qui, selon les agences, opérait comme une façade pour le groupe menaçant. APT39 (alias Chafer ou Remix Kitten), collectif iranien de cyberespionnage piratage actif depuis 2014 connu pour ses attaques contre des entreprises aux États-Unis et au Moyen-Orient dans le but de voler des informations personnelles et de faire progresser les objectifs de sécurité nationale de l’Iran.
À cet effet, 45 personnes qui ont occupé divers postes tout en étant employées dans la société écran, y compris en tant que gestionnaires, programmeurs et experts en piratage informatique, ont été impliquées dans les sanctions, qui interdisent également aux entreprises américaines de faire des affaires avec Rana et ses employés.
« Masqué derrière sa société écran, Rana Intelligence Computing Company (Rana), le ministère du Renseignement et de la Sécurité (MOIS) du gouvernement iranien a lancé une campagne de logiciels malveillants qui a duré des années et qui a ciblé et surveillé les citoyens iraniens, les dissidents et les journalistes, les réseaux gouvernementaux. des pays voisins de l’Iran et des organisations étrangères dans les secteurs du voyage, de l’enseignement et des télécommunications, « le FBI m’a dit.
On pense également que Rana a ciblé des entreprises du secteur privé iranien et des institutions universitaires, y compris des centres de langue et de culture persans à l’intérieur et à l’extérieur du pays.
La longue histoire des activités d’espionnage de l’APT39
Plus tôt en mai, Bitdefender a découvert deux cyberattaques dirigées contre des infrastructures critiques au Koweït et en Arabie saoudite, compromettant ses victimes via des e-mails de spear-phishing contenant des pièces jointes malveillantes et utilisant divers outils d’intrusion pour prendre pied dans un premier temps et collecter des données sensibles à partir de systèmes infectés.
APT39 a une histoire de piratage de cibles couvrant plus de 30 pays au Moyen-Orient, en Afrique du Nord et en Asie centrale, et au moins 15 entreprises américaines du secteur du voyage ont été compromises par le logiciel malveillant de Rana, utilisant l’accès non autorisé pour suivre les mouvements de les individus que le MOIS considérait comme une menace.
En plus de relier formellement les activités d’APT39 à Rana, le FBI a détaillé huit ensembles séparés et distincts de malware non divulgué auparavant utilisé par le groupe pour mener ses activités d’intrusion et de reconnaissance informatiques, qui comprennent:
- Documents Microsoft Office contenant des logiciels malveillants Visual Basic Script (VBS) envoyés via des techniques d’ingénierie sociale
- Scripts malveillants de logiciels malveillants AutoIt intégrés dans des documents Microsoft Office ou liens malveillants
- Deux versions différentes du malware BITS pour agréger et exfiltrer les données des victimes vers une infrastructure contrôlée par l’acteur
- Un utilitaire de capture d’écran et de keylogger qui se faisait passer pour un navigateur Mozilla Firefox légitime
- Un téléchargeur basé sur Python pour récupérer des fichiers malveillants supplémentaires sur la machine victime à partir d’un serveur de commande et de contrôle (C2)
- Un implant Android (« optimizer.apk ») avec des capacités de vol d’informations et d’accès à distance
- Logiciel malveillant « Depot.dat » permettant de collecter des captures d’écran, de capturer des frappes au clavier et de transmettre les informations à un serveur distant sous leur contrôle
Une série d’accusations contre des pirates iraniens
Les sanctions contre APT39 sont les dernières d’une série d’actions entreprises par le gouvernement américain au cours des derniers jours contre l’Iran, qui comprend également des accusations contre trois pirates pour avoir participé à un campagne coordonnée de vol d’identité et de piratage informatique au nom du Corps des gardiens de la révolution islamique (CGRI) iranien pour voler des informations critiques liées aux sociétés américaines de technologie aérospatiale et satellitaire.
Enfin, la Cybersecurity Security and Infrastructure Security Agency (CISA) a mis en garde contre un cyber-acteur malveillant basé en Iran visant plusieurs agences fédérales américaines en exploitant vulnérabilités VPN inégalées pour amasser des données sensibles et même vendre l’accès à l’infrastructure réseau compromise dans un forum de pirates en ligne.
« Le dévoilement des actes d’accusation et autres actions perturbatrices de cette semaine est un autre rappel de l’ampleur et de la profondeur des cyber-activités malveillantes iraniennes ciblant non seulement les États-Unis, mais des pays du monde entier », John C. Demers, Procureur général adjoint à la sécurité nationale , m’a dit dans un rapport.
« Que ce soit en dirigeant de telles activités de piratage ou en offrant un refuge sûr aux pirates informatiques iraniens, l’Iran est complice du ciblage de victimes innocentes dans le monde entier et approfondit son statut d’État voyou. »