Rechercher

L’Iran soupçonné de cyberattaques contre des entreprises du Moyen-Orient

Selon la société Cybereason, le groupe MalKamak a envoyé des commandes à son cheval de Troie via Dropbox; les résultats rappellent les précédents piratages soutenus par l'Iran

Illustration : Un expert en cybersécurité se tient devant une carte de l'Iran alors qu'il parle aux journalistes des techniques de piratage iranien, le 20 septembre 2017, à Dubaï, aux Émirats arabes unis. (AP/Kamran Jebreili)
Illustration : Un expert en cybersécurité se tient devant une carte de l'Iran alors qu'il parle aux journalistes des techniques de piratage iranien, le 20 septembre 2017, à Dubaï, aux Émirats arabes unis. (AP/Kamran Jebreili)

Des chercheurs en cyber-sécurité ont publié mercredi un rapport qui établit un lien entre les cyberattaques menées contre un certain nombre d’entreprises aérospatiales et de télécommunications, principalement au Moyen-Orient, et des groupes parrainés par l’État iranien.

Selon la société de cybersécurité américano-israélienne Cybereason, MalKamak, un groupe de cyberespionnage qui serait lié à d’autres groupes connus parrainés par le gouvernement iranien, tels que Chafer APT (également connu sous le nom d’APT39 ou Remix Kitten), est responsable de la récente attaque informatique.

La société n’a pas nommé de victimes spécifiques, mais a déclaré qu’il s’agissait principalement d’un « petit nombre » d’entreprises au Moyen-Orient, et d’autres aux États-Unis, en Europe et en Russie. Bien qu’Israël n’ait pas été mentionné, la Douzième chaîne a rapporté que des entreprises israéliennes figuraient sur la liste des cibles au Moyen-Orient, sans fournir de source ni plus de détails.

Selon Cybereason, l’objectif final du piratage était le vol d’informations sur leur infrastructure, leur technologie et leurs actifs critiques.

Le groupe iranien a utilisé un cheval de Troie d’accès à distance baptisé ShellClient, qui était utilisé depuis au moins 2018, pour obtenir des informations auprès des entreprises. Cybereason a déclaré que la menace était toujours active en septembre.

Le cheval de Troie lui-même est contrôlé via la plateforme de partage de fichiers Dropbox, ce qui l’a apparemment rendu difficile à détecter.

Logo de la société Dropbox (Crédit : Wikipedia)

Des commandes sont envoyées au cheval de Troie, qui est déguisé en programme légitime de Microsoft, pour d’abord le configurer et identifier les informations du système et le logiciel antivirus installé.

Ensuite, toujours en utilisant Dropbox, les pirates envoient une autre série de commandes pour transformer le cheval de Troie en un programme persistant sur l’ordinateur de la victime, avec des privilèges d’administrateur.

Cybereason a déclaré que son équipe a comparé ses observations avec les campagnes précédentes qui ont été attribuées à des acteurs iraniens connus, « et a pu mettre en évidence certaines similitudes intéressantes entre ShellClient et les logiciels malveillants et les acteurs de la menace iraniens précédemment signalés. »

De nombreuses cyberattaques iraniennes présumées contre Israël ont été signalées ces dernières années, dont une qui a visé son infrastructure hydraulique en 2020.

Israël et l’Iran sont engagés dans une guerre de l’ombre depuis des années, Israël ayant apparemment dirigé la plupart de ses efforts – y compris de multiples cyberattaques présumées – pour saboter le programme nucléaire de la République islamique.

En savoir plus sur :
C’est vous qui le dites...