Hackers Iraniens

Le Bureau de contrôle des avoirs étrangers (OFAC) du département du Trésor américain a annoncé mercredi des sanctions radicales contre dix personnes et deux entités soutenues par le Corps des gardiens de la révolution islamique (CGRI) iranien pour leur implication dans des attaques de rançongiciels au moins depuis octobre 2020.

L’agence a déclaré que la cyberactivité montée par les individus est en partie attribuable à des ensembles d’intrusions suivis sous les noms d’APT35, Charming Kitten, Nemesis Kitten, Phosphorus et TunnelVision.

« Ce groupe a lancé de vastes campagnes contre des organisations et des responsables à travers le monde, ciblant en particulier le personnel de la défense, de la diplomatie et du gouvernement des États-Unis et du Moyen-Orient, ainsi que les industries privées, notamment les médias, l’énergie, les services aux entreprises et les télécommunications », a déclaré le Trésor. a dit.

L’acteur de Nemesis Kitten, également connu sous le nom de Cobalt Mirage, DEV-0270 et UNC2448, a fait l’objet d’un scanner ces derniers mois pour son schéma d’attaques de ransomwares pour la génération de revenus opportunistes à l’aide de l’outil BitLocker intégré de Microsoft pour chiffrer les fichiers sur des sites compromis. dispositifs.

La Cyber-Sécurité

Microsoft et Secureworks ont caractérisé DEV-0270 comme un sous-groupe de Phosphorus (alias Cobalt Illusion), avec des liens avec un autre acteur appelé TunnelVision. Le fabricant de Windows a également évalué avec une faible confiance que « certaines des attaques de ransomware de DEV-0270 sont une forme de travail au noir pour la génération de revenus personnels ou spécifiques à l’entreprise ».

Publicité

De plus, des analyses indépendantes des deux sociétés de cybersécurité ainsi que de Mandiant, propriété de Google, ont révélé les liens du groupe avec deux sociétés Najee Technology (qui fonctionne sous les alias Secnerd et Lifeweb) et Afkar System, qui ont toutes deux fait l’objet de sanctions américaines. .

Il convient de noter que les liens de Najee Technology et Afkar System avec l’agence de renseignement iranienne ont d’abord été signalés par une entité anonyme anti-régime iranienne appelée Lab Dookhtegan. plus tôt cette an.

« Le modèle des fonctions de renseignement du gouvernement iranien utilisant des sous-traitants brouille les frontières entre les actions mandatées par le gouvernement et les actions que l’entreprise privée entreprend de sa propre initiative », a déclaré Secureworks dans un communiqué. nouveau rapport détaillant les activités de Cobalt Mirage.

Bien que les liens exacts entre les deux sociétés et le CGRI restent flous, la méthode des entreprises privées iraniennes agissant comme façades ou fournissant un soutien aux opérations de renseignement est bien établie au fil des ans, y compris celle de ITSecTeam (ITSEC), MersadEmennet Pasargad et Rana Intelligence Computing Company.

En plus de cela, l’enquête Secureworks sur un incident de Cobalt Mirage en juin 2022 a montré que les métadonnées associées à un fichier PDF contenant le texte de la rançon avaient identifié Ahmad Khatibi comme son créateur, qui se trouve être le PDG et propriétaire de la société iranienne Afkar System.

Ahmad Khatibi Aghda fait également partie des 10 personnes sanctionnées par les États-Unis, aux côtés de Mansour Ahmadi, le PDG de Najee Technology, et d’autres employés des deux entreprises qui seraient complices du ciblage de divers réseaux dans le monde en exploitant des failles de sécurité bien connues. pour obtenir un accès initial à d’autres attaques ultérieures.

Certains défauts exploitésselon un conseil conjoint en cybersécurité publiés par l’Australie, le Canada, le Royaume-Uni et les États-Unis, dans le cadre de l’activité des acteurs affiliés au CGRI sont les suivants :

  • Vulnérabilité de traversée de chemin Fortinet FortiOS (CVE-2018-13379)
  • Vulnérabilité de configuration par défaut de Fortinet FortiOS (CVE-2019-5591)
  • Contournement Fortinet FortiOS SSL VPN 2FA (CVE-2020-12812)
  • ProxyShell (CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207), et
  • Log4Shell (CVE-2021-44228, CVE-2021-45046 et/ou CVE-2021-45105)

« Khatibi fait partie des cyber-acteurs qui ont obtenu un accès non autorisé aux réseaux des victimes pour chiffrer le réseau avec BitLocker et exiger une rançon pour les clés de déchiffrement », a déclaré le gouvernement américain, en plus de l’ajouter au FBI. Liste des plus recherchés.

La Cyber-Sécurité

« Il a loué une infrastructure réseau utilisée dans le cadre des activités de ce cybergroupe malveillant, il a participé à la compromission des réseaux des victimes et il s’est engagé dans des négociations de rançon avec les victimes. »

Coïncidant avec les sanctions, le ministère de la Justice séparément accusé Ahmadi, Khatibi et un troisième ressortissant iranien nommé Amir Hossein Nickaein Ravari pour avoir participé à un stratagème d’extorsion criminelle visant à infliger des dommages et des pertes à des victimes situées aux États-Unis, en Israël et en Iran.

Les trois personnes ont été inculpées d’un chef d’accusation de complot en vue de commettre une fraude informatique et d’activités connexes en rapport avec des ordinateurs ; un chef d’accusation d’endommagement intentionnel d’un ordinateur protégé ; et un chef de transmission d’une demande relative à l’endommagement d’un ordinateur protégé. Ahmadi a également été accusé d’avoir intentionnellement endommagé un ordinateur protégé.

Ce n’est pas tout. Le Département d’État américain a également récompenses monétaires annoncées jusqu’à 10 millions de dollars pour toute information sur Mansour, Khatibi et Nikaeen et leur localisation.

« Ces accusés ont peut-être piraté et extorqué des victimes – y compris des fournisseurs d’infrastructures critiques – pour leur gain personnel, mais les accusations reflètent la façon dont les criminels peuvent s’épanouir dans le refuge que le gouvernement iranien a créé et dont il est responsable », a déclaré le procureur général adjoint Matthew. dit Olsen.

Cette évolution fait suite aux sanctions imposées par les États-Unis contre le ministère iranien du renseignement et de la sécurité (Vevak) et son ministre du renseignement, Esmaeil Khatib, pour avoir participé à des activités cybernétique contre la nation et ses alliés.

Rate this post
Publicité
Article précédentLes spin-offs de Yakuza, Judgment et Lost Judgment, arrivent sur Steam
Article suivantGods Unchained s’associe à GameStop
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici