La société de sécurité Cylance met en avant la progression de l’Iran en matière de cyberattaques. 4 ans après Stuxnet, la République Islamique prépare sa revanche.

C’est un document de 86 pages mis à disposition du public par la société de sécurité Cylance qui donne un nouvel éclairage sur les pratiques de l’Iran. Et le rapport est plutôt alarmiste. « Nous croyons que si cette opération n’est pas contrecarrée, ce n’est qu’une question de temps pour que la sécurité physique dans le monde soit impactée. Bien que le fait de dévoiler cette information se fasse au détriment de notre capacité à traquer l’activité de ce groupe, cela va permettre à l’ensemble de l’industrie de la sécurité de se défendre contre cette menace » est-il précisé. 

Stuart McClure, CEO de l’entreprise, va plus loin : « après avoir traqué les hackers personnellement et professionnellement depuis plus de 26 ans, il n’y a aucun doute dans mon esprit sur le fait que la publication des informations contenues dans le rapport Opération Cleaver est vitale à la sécurité des infrastructures critiques dans le monde ». L’Iran avait été victime de Stuxnet (2009-2010) de Duqu (2009-2011) et de Flame (2012) : les perses ont décidé de contre-attaquer. Bien évidemment, un porte-parole iranien siégeant à l’ONU a vivement démenti toute forme d’implication de son pays dans de telles actions, mais les faits semblent têtus. 

Dans le résumé du rapport, lequel est accessible à cette adresse, il est précisé : « depuis 2012 au moins, des acteurs iraniens ont directement attaqué, établi une présence et extrait des information très sensibles des réseaux gouvernementaux ou des infrastructures critiques de grandes entreprises dans les pays suivants : Canada, Chine, Angleterre, France, Allemagne, Inde, Israël, Koweit, Mexique, Pakistan, Qatar, Arabie Saoudite, Corée du Sud, Turquie, Emirats arabes unis et Etats-Unis ».

Le rapport précise que le groupe principal travaille à Téhéran et qu’il existe également des ramifications aux Pays-Bas, en Angleterre et au Canada. Les infrastructures des OIV (opérateur d’intérêt vital) ont été ciblées : énergie, transports, aéroports, hôpitaux, télécommunications, sociétés travaillant dans les secteurs de la défense, de l'industrie chimique et des agences gouvernementales. 

Un faisceau d'indices

Cylance affirme que s’il est généralement difficile d’attribuer une localisation à un groupe de hackers particulièrement pour les attaques de type APT, il existe dans le cas présent un large faisceau d’indices qui pointent vers l’Iran. En premier lieu, un certain nombre de noms de domaines utilisés pour les attaques ont été enregistrés auprès du registrar iranien Tarh Andishan. Il en va de même pour les les sources et les ASNs. Enfin, l’infrastructure utilisée pour les attaques est basée chez Netafraz, un fournisseur de services Internet iranien. Evidemment tout ceci fait beaucoup.

Les hackers perses utilisent des techniques similaires à leurs homologues russes ou chinois comme un mix d’injections SQL et d’attaques qui exploitent la vulnérabilité Microsoft MS08-067, laquelle permet de prendre pied dans un réseau. Cylance affirme que plus de 8 Go de données et 80 000 fichiers ont été exfiltrés par les pirates. Plus inquiétant, la société relève une volonté de s’attaquer aux systèmes industriels de type SCADA ou ICS. Pour le moment, les attaques n’ont pas été couronnées de succès mais des données sensibles ont pu être exfiltrées en vue d’un sabotage ultérieur.




Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143949
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI