FireEye détecte un groupe de pirates baptisé APT33 et qui serait lié à l’État iranien,
FireEye détecte un groupe de pirates baptisé APT33 et qui serait lié à l’État iranien,
le groupe ciblerait les entreprises de l’énergie et de l’aviation
L’entreprise de sécurité FireEye vient de détecter un groupe de pirates informatiques qui aurait des liens présumés avec le gouvernement iranien. Ce groupe qui a été baptisé par FireEye Advanced Persistent Threat 33 (APT33) mènerait des opérations dans plusieurs pays depuis 2013. Selon les résultats des investigations faites par l’entreprise de sécurité, le groupe serait porté sur le secteur aérospatial et énergétique et aurait réussi à pirater des entreprises (commerciales et militaires) des États-Unis et de l’Arabie Saoudite exerçant dans le secteur de l’aviation ainsi que des entreprises de la Corée du Sud et de l’Arabie Saoudite dans le domaine de l’énergie.
Pour parvenir à ses fins, le groupe utilise des attaques de phishing en envoyant des emails contenant des liens vers des fichiers d’application HTML avec des propositions d’offres d’emploi. Pour masquer la tromperie, le groupe aurait enregistré des noms de domaine d’entreprises travaillant dans les mêmes endroits que les personnes ciblées. Ces domaines comprendraient des références à Boeing et à Northrop Grumman Aviation Arabia. En recevant ces emails provenant d’adresses qui paraissent légitimes, les personnes ciblées ne pourraient donc pas s’imaginer au premier abord qu’il s’agit d’une attaque. Une fois que la victime clique sur le lien du fichier envoyé, cela installe une porte dérobée appelée TURNEDUP sur son ordinateur.
Toutefois, dans leurs attaques, FireEye relève que le groupe a commis plusieurs erreurs comme le fait d’avoir laissé l’identifiant xman_1365_x dans les chemins des processus de débogage de plusieurs échantillons de la porte dérobée TURNEDUP. Cet identifiant a permis à FireEye de faire un lien avec « un personnage iranien qui peut avoir été employé par le gouvernement iranien pour mener une activité de menace cybernétique contre ses adversaires. » Et en poussant encore plus loin les recherches, FireEye rapporte que les recherches open source lient « l’acteur xman_1365_x à Nasr Institute, qui est prétendu être équivalent à la “cyberarmée” iranienne et contrôlée par le gouvernement iranien. »
En plus de ces allégations qui semblent corroborer la thèse du support étatique iranien, FireEye explique également que les heures de travail du groupe s’alignent avec le fuseau horaire de l’État iranien et ainsi qu’avec la semaine de travail iranienne partant du samedi au mercredi. De même, selon les analyses de FireEye, APT33 aurait utilisé des outils de piratage populaires et des serveurs de nom de domaine également utilisés par d’autres acteurs supposés être basés dans ce pays. Enfin, FireEye précise qu’elle « a trouvé quelques liens dans le logiciel malveillant utilisé par APT33 avec Shamoon, le nom d’une cyberattaque liée à l’Iran qui a effacé les trois quarts des ordinateurs de la compagnie pétrolière saoudienne en 2012, ne laissant qu’une photo d’un drapeau américain en train de brûler. »
« La focalisation d’APT33 sur l’aviation peut indiquer le désir du groupe de comprendre les capacités de l’aviation militaire régionale pour renforcer les capacités d’aviation de l’Iran ou pour soutenir la prise de décision militaire et stratégique de l’Iran », souligne le rapport. FireEye ajoute que « leur ciblage de multiples holdings et organisations dans les secteurs de l’énergie s’harmonise avec les priorités nationales de la croissance iranienne, en particulier en ce qui concerne l’augmentation de la production pétrochimique. Nous estimons que l’activité de l’APT33 continuera de couvrir un large éventail d’entités ciblées et pourra s’étendre à d’autres régions et secteurs à mesure que les intérêts iraniens le dicteront. »
Source : FireEye
Et vous ?
Quel est votre avis sur les conclusions de ce rapport ?
Voir aussi
Répondre avec citation
Partager