• Votre panier est vide.

  • COMPTE

Les pirates iraniens s’attaquent aux infrastructures critiques américaines


Certains articles de veille peuvent faire l'objet de traduction automatique.


Les organismes responsables de Les infrastructures critiques aux États-Unis sont dans la ligne de mire des pirates informatiques du gouvernement iranien, qui exploitent les vulnérabilités connues des produits d’entreprise de Microsoft et Fortinet, ont averti mercredi des responsables gouvernementaux des États-Unis, du Royaume-Uni et de l’Australie.

UNE consultatif commun publié mercredi a déclaré qu’un groupe de piratage avancé de menaces persistantes aligné avec le gouvernement iranien exploitait les vulnérabilités de Microsoft Exchange et de Fortinet. FortiOS, qui constitue la base des offres de sécurité de cette dernière société. Toutes les vulnérabilités identifiées ont été corrigées, mais tous ceux qui utilisent les produits n’ont pas installé les mises à jour. L’avis a été publié par le FBI, l’Agence américaine de cybersécurité et de sécurité des infrastructures, le National Cyber ​​Security Center du Royaume-Uni et le Australian Cyber ​​Security Center.

Un large éventail de cibles

« Les acteurs de l’APT parrainés par le gouvernement iranien ciblent activement un large éventail de victimes dans plusieurs secteurs d’infrastructures critiques aux États-Unis, notamment le secteur des transports et le secteur de la santé et de la santé publique, ainsi que des organisations australiennes », indique l’avis. « Le FBI, la CISA, l’ACSC et le NCSC évaluent les acteurs [that] se concentrent sur l’exploitation des vulnérabilités connues plutôt que sur le ciblage de secteurs spécifiques. Ces acteurs APT parrainés par le gouvernement iranien peuvent tirer parti de cet accès pour des opérations de suivi, telles que l’exfiltration ou le cryptage de données, les ransomwares et l’extorsion.

L’avis indique que le FBI et la CISA ont observé que le groupe exploitait les vulnérabilités de Fortinet depuis au moins mars et les vulnérabilités de Microsoft Exchange depuis au moins octobre pour obtenir un accès initial aux systèmes. Les pirates lancent ensuite des opérations de suivi qui incluent le déploiement de ransomware.

En mai, les attaquants ont ciblé une municipalité américaine anonyme, où ils ont probablement créé un compte avec le nom d’utilisateur « elie » pour creuser davantage dans le réseau compromis. Un mois plus tard, ils ont piraté un hôpital américain spécialisé dans les soins de santé pour enfants. Cette dernière attaque impliquait probablement des serveurs liés à l’Iran au 91.214.124[.]143, 162.55.137[.]20 et 154.16.192[.]70.

Le mois dernier, les acteurs APT ont exploité les vulnérabilités de Microsoft Exchange qui leur ont donné un accès initial aux systèmes avant les opérations de suivi. Les autorités australiennes ont déclaré avoir également observé que le groupe exploitait la faille Exchange.

Méfiez-vous des comptes d’utilisateurs non reconnus

Les pirates ont peut-être créé de nouveaux comptes d’utilisateurs sur les contrôleurs de domaine, les serveurs, les postes de travail et les répertoires actifs des réseaux qu’ils ont compromis. Certains des comptes semblent imiter des comptes existants, de sorte que les noms d’utilisateur sont souvent différents d’une organisation ciblée à l’autre. L’avis indique que le personnel de sécurité du réseau doit rechercher les comptes non reconnus en portant une attention particulière aux noms d’utilisateur tels que Support, Help, elie et WADGUtilityAccount.

L’avis arrive un jour après Microsoft signalé qu’un groupe aligné sur l’Iran qu’il appelle Phosphorous utilise de plus en plus des ransomwares pour générer des revenus ou perturber des adversaires. Le groupe utilise des « attaques agressives par force brute » sur des cibles, a ajouté Microsoft.

Au début de cette année, a déclaré Microsoft, Phosphorus a analysé des millions d’adresses IP à la recherche de systèmes FortiOS qui n’avaient pas encore installé les correctifs de sécurité pour CVE-2018-13379. La faille a permis aux pirates de collecter des informations d’identification en texte clair utilisées pour accéder à distance aux serveurs. Phosphorus a fini par collecter les informations d’identification de plus de 900 serveurs Fortinet aux États-Unis, en Europe et en Israël.

Plus récemment, Phosphorus est passé à l’analyse des serveurs Exchange sur site vulnérables à CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065, une constellation de failles qui portent le nom de ProxyShell . Microsoft correction des vulnérabilités en mars.

« Lorsqu’ils ont identifié des serveurs vulnérables, Phosphorus a cherché à gagner en persistance sur les systèmes cibles », a déclaré Microsoft. « Dans certains cas, les acteurs ont téléchargé un coureur Plink nommé MicrosoftOutLookUpdater.exe. Ce fichier baliserait périodiquement leurs serveurs C2 via SSH, permettant aux acteurs d’émettre d’autres commandes. Plus tard, les acteurs téléchargeaient un implant personnalisé via une commande PowerShell codée en Base64. Cet implant a établi la persistance sur le système victime en modifiant les clés de registre de démarrage et a finalement fonctionné comme un chargeur pour télécharger des outils supplémentaires.

Identification des cibles de grande valeur

Le billet de blog de Microsoft a également déclaré qu’après avoir obtenu un accès persistant, les pirates ont trié des centaines de victimes pour identifier les cibles les plus intéressantes pour les attaques de suivi. Les pirates ont ensuite créé des comptes d’administrateur local avec le nom d’utilisateur « help » et le mot de passe « _AS_@1394 ». Dans certains cas, les acteurs ont vidé le LSASS pour acquérir des informations d’identification à utiliser plus tard.

Microsoft a également déclaré avoir observé que le groupe utilisait la fonction de cryptage de disque complet BitLocker de Microsoft, conçue pour protéger les données et empêcher l’exécution de logiciels non autorisés.

Voir aussi :

novembre 19, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)