Une campagne de piratage informatique iranienne viserait le secteur européen de l’énergie
Une campagne de piratage informatique avec des liens présumés avec l’Iran a ciblé le secteur énergétique européen. L’objectif aurait été une mission de reconnaissance visant à recueillir des informations sensibles. L’intrusion a été détaillée par les chercheurs de la société de cybersécurité Recorded Future.
Le logiciel PupyRAT utilisé par les attaquants est un logiciel malveillant open source et peut s’infiltrer sous Windows, Linux, OSX et Android pour permettre aux pirates d’accéder au système de la victime, y compris aux noms d’utilisateur, aux mots de passe et aux informations sensibles sur le réseau.
Malgré la nature open-source de ce malware, PupyRAT est lié de manière évidente aux campagnes de piratage menées par l’Iran, en particulier par le groupe connu sous le nom d’APT 33, et a déjà été déployé dans des attaques visant des infrastructures critiques.
Pas en lien avec la mort de Qassem Soleimani
Les chercheurs ont identifié le logiciel malveillant comme ayant été utilisé dans des attaques qui ont eu lieu entre novembre 2019 et janvier 2020. Ces dates signifient que la campagne a commencé avant que les tensions géopolitiques au Moyen-Orient n’augmentent à la suite de l’attaque aérienne américaine qui a tué le général iranien Qassem Soleimani.
Les chercheurs n’ont pas été en mesure d’identifier la méthode exacte de diffusion, mais pensent que le malware est distribué par des attaques de phishing. Lors des précédentes campagnes d’APT 33, les attaquants ont gagné la confiance des victimes avant d’envoyer un document malveillant.
Les chercheurs ont constaté que l’entreprise ciblée a communiqué à plusieurs reprises avec l’infrastructure de commande et de contrôle associée aux campagnes PupyRAT précédentes. Ce qui suffit pour penser que le réseau a été compromis dans le cadre d’une campagne d’espionnage.
“Mission de reconnaissance”
“Selon notre évaluation basée sur le trafic que nous avons observé, il s’agissait probablement d’une mission de reconnaissance” a déclaré à ZDNet Priscilla Moriuchi, de Recorded Future. “Nous pensons qu’étant donné l’activité réseau que nous observons, l’accès à ce type d’informations sensibles serait extrêmement précieux pour les adversaires”.
Recorded Future a informé la cible de l’attaque, et la société de sécurité a travaillé avec la compagnie d’énergie pour éradiquer les intrus avant que d’autres dommages ne soient causés. “On suppose que l’on peut désactiver et activer les attaques de réseau, mais ce n’est généralement pas le cas” a expliqué M. Moriuchi.
“Pour permettre des opérations ou des attaques destructrices, il faut des mois de reconnaissance et de compréhension du comportement des employés de ces entreprises et de la manière dont une certaine capacité pourrait avoir un impact sur l’information ou la distribution des ressources énergétiques”.
Monter en gamme sur les procédures de sécurité
Les entreprises énergétiques sont souvent la cible de cyberattaques. Mais les chercheurs notent que les tentatives de piratage de ces réseaux peuvent souvent être déjouées grâce à des procédures de sécurité telles que l’introduction d’une authentification à deux facteurs sur le réseau et la garantie que les mots de passe sont complexes et ne sont pas réutilisés sur plusieurs systèmes.
Les administrateurs réseau devraient également surveiller les tentatives de connexion au réseau, car cela pourrait révéler quelque chose de suspect.
“Ces groupes utilisent souvent l’attaque de force brute des mots de passe, de sorte que la surveillance de multiples tentatives de connexion à partir de la même adresse IP avec différents comptes est quelque chose qui peut être surveillé” a déclaré M. Moriuchi.
Les organisations doivent également s’assurer que leurs systèmes sont régulièrement mis à jour avec les correctifs de sécurité appropriés afin de garantir que les cybercriminels ne puissent pas profiter des vulnérabilités connues pour accéder aux réseaux.
Source : “ZDNet.com”
