Passer au contenu

Comment les hackers iraniens espionnent nos entreprises

Les pirates du Guide suprême s’appuient sur les failles connues des logiciels VPN pour s’introduire dans les réseaux des organisations. Et cela depuis au moins trois ans.

Les outils de connexion à distance, tels que Windows RDP ou les logiciels de VPN, sont fort pratiques. Mais s’ils sont vulnérables, ce sont également de belles portes d’entrée pour les pirates. D’après les chercheurs en sécurité de ClearSky, ce vecteur d’attaque a été utilisé depuis au moins trois ans par des hackers du gouvernement iranien pour espionner des douzaines d’entreprises dans quatorze pays, dont la France et l’Allemagne. Parmi les cibles de cette vaste opération, que les chercheurs ont baptisée « Fox Kitten », figurent des sociétés de services informatiques, des spécialistes de l’armement ou de l’aviation et des acteurs du secteur énergétique.  

Pour mettre le pied dans les réseaux, ces hackers ont utilisé des failles dites « 1-day ». Ce sont des vulnérabilités connues pour lesquelles des patchs sont disponibles… mais pas forcément installés. Généralement, ces pirates vont réaliser un travail de rétro-ingénierie à partir du patch en question pour retrouver la faille d’origine et, ainsi, créer leur code d’attaque. Toute la difficulté réside dans la rapidité de ce développement. De ce point de vue, les hackers iraniens seraient assez efficaces, car ils ne mettraient que quelques heures à quelques semaines pour créer leurs exploits.

Exfiltration par des archives compressées

Selon ClearSky, les hackers iraniens se sont principalement appuyés sur des failles dans les logiciels VPN de Palo Alto Networks ou de Fortinet. Les chercheurs pensent qu’à l’avenir, ils vont également utiliser les failles dans les logiciels de connexion de Citrix. Une fois dans la place, les pirates déroulent tout un tas de techniques pour se déplacer au sein des réseaux, compromettre un maximum d’équipements et installer des portes dérobées.

Grâce à ces dernières, ils vont ensuite pouvoir créer des connexions chiffrées vers des serveurs externes et exfiltrer les données sous la forme d’archives compressées WinRAR ou 7-Zip. Enfin, il n’est pas impossible que cette infrastructure d’espionnage puisse servir, un jour, à réaliser des actions de sabotage, estiment les chercheurs.

L’attribution au gouvernement iranien s’appuie sur un ensemble d’éléments techniques. Les chercheurs ont trouvé des mots et des phrases en persan dans les codes de malware. Ils ont également détecté des outils et des infrastructures informatiques qui avaient été précédemment utilisés par des groupes de hackers iraniens. En particulier, il existe des liens techniques avec les groupes iraniens APT33, APT34 et APT39. Ce qui suggère un assez haut niveau de collaboration entre ces différentes entités.    

Source : ClearSky

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn