CSDHI – Au cours des dernières années, le gouvernement iranien est apparu comme une menace de cyber espionnage et cyberattaques mondiales.
L’Iran intensifie constamment ses efforts pour déployer des capacités de cyberattaques contre les dissidents iraniens, ainsi que contre les infrastructures essentielles d’autres nations.
Téhéran utilise également des plates-formes de médias sociaux pour diffuser de la désinformation et de fausses informations.
Le 26 septembre, Fox News a annoncé qu’un site Web malveillant d’une page avait pris pour cible, les vétérans américains à la recherche d’un emploi. Le site Web frauduleux propose une application de bureau gratuite, censée aider les lecteurs à rechercher des emplois en ligne. On pense que le site Web est l’œuvre du groupe de piratage iranien Tortoiseshell.
Le site Web frauduleux a été découvert par le groupe Cisco Talos.
Dans les coulisses, le logiciel malveillant continue de fonctionner sur les ordinateurs des victimes, recueillant des informations sur les spécifications techniques du système et envoyant les données à une boîte de réception Gmail contrôlée par le cyber attaquant.
Le type de données collectées par le logiciel malveillant comprend des informations sur le système, le niveau de correctif, le nombre de processeurs, la configuration du réseau, le matériel, les versions de microprogrammes, le contrôleur de domaine, le nom de l’administrateur, la liste des comptes, la date, l’heure, etc. pilotes, etc.
« Il s’agit d’une quantité importante d’informations relatives à une machine et prépare bien l’attaquant à mener des cyberattaques supplémentaires », ont déclaré Warren Mercer, Paul Rascagneres et Jungsoo An, les trois chercheurs de Cisco Talos qui ont analysé le programme malveillant.
Outre un composant de collecte de données, le logiciel malveillant installe également un cheval de Troie d’accès à distance (RAT), un type de logiciel malveillant qui permet aux attaquants d’accéder aux systèmes infectés.
Le modus operandi général des pirates semble être d’utiliser le faux site Web d’embauche d’anciens combattants militaires comme système d’ingénierie sociale pour infecter les victimes, puis de sélectionner la cible qu’ils souhaitent atteindre et télécharger des charges supplémentaires. Les attaquants s’en prennent clairement aux réseaux militaires.
L’équipe dite de piratage Tortoiseshell, lancée la semaine dernière par Symantec pour une campagne de cyber espionnage coordonnée et ciblée qui passe des réseaux de plusieurs grands fournisseurs informatiques en Arabie Saoudite, aux clients spécifiques des fournisseurs, est également connue par CrowdStrike comme l’équipe iranienne de piratage, Imperial Kitten.
Tortoiseshell déploie un cheval de Troie d’accès à distance nommé « IvizTech », qui correspond au code et présente les caractéristiques de Symantec détaillées dans son rapport sur la porte dérobée.
On ne sait pas exactement comment les agresseurs attirent les victimes potentielles et si le site infecte activement les victimes à ce stade. Les chercheurs de Cisco Talos affirment que les créateurs ont jusqu’à présent utilisé une sécurité opérationnelle faible, laissant derrière eux des références codées en dur, par exemple.
« Il est possible que plusieurs équipes d’un APT aient travaillé sur plusieurs éléments de ce malware, car nous pouvons constater certains niveaux de sophistication et différents niveaux de victimologie », ont écrit les chercheurs dans leur blog sur la menace.
Source : INU
