Problème 4908

Les États-Unis et Israël ont prévenu que l’acteur de menace parrainé par l’État iranien Cotton Sandstorm déploie de nouvelles techniques pour cibler les réseaux, notamment en exploitant des outils d’IA générative.

L’avis conjoint a souligné comment le groupe, également connu sous le nom de Marnanbridge et Haywire Kitten, est récemment passé d’opérations de « piratage et de fuite » contre des organisations principalement en Israël à une gamme plus large d’attaques touchant de nombreux pays, dont Israël, la France, la Suède et les États-Unis.

Il s’agit notamment de surveiller activement les sites Web et les médias américains liés aux élections, ce qui suggère qu’il se prépare à mener des opérations d’influence plus directes à l’approche du jour de l’élection présidentielle.

Le groupe a mené plusieurs cyberopérations ciblant les Jeux olympiques de Paris 2024, y compris la compromission d’un fournisseur d’affichage dynamique commercial français, et a entrepris un projet de récolte de contenu à partir de caméras IP.

Les agences rédactrices ont ajouté que depuis avril 2024, Cotton Sandstorm a utilisé le personnage en ligne « Cyber Court » pour promouvoir les activités de plusieurs groupes hacktivistes présumés menant des activités malveillantes contre divers pays comme moyen de protester contre le conflit entre Israël et le Hamas.

Le FBI a déclaré disposer d'informations fiables selon lesquelles depuis la mi-2024, Cotton Sandstorm opère sous le nom de société Aria Sepehr Ayandehsazan (ASA) comme couverture nominale, notamment à des fins de ressources humaines et financières.

Le Digital Defense Report 2024 de Microsoft a mis en évidence Cotton Sandstorm comme faisant partie du Corps des gardiens de la révolution islamique (IRGC), qui mène des cyberopérations offensives pour le compte de Téhéran.

Le nouveau métier de Cotton Sandstorm

L'avis a mis en évidence plusieurs nouvelles tactiques, techniques et procédures (TTP) que Cotton Sandstorm a été observé en train d'utiliser. Français:Ces derniers incluent :

• Nouvelles techniques d'infrastructure. Depuis la mi-2023, le groupe a fait appel à plusieurs fournisseurs d'hébergement pour la gestion et l'obfuscation de l'infrastructure - « Server-Speed » et « VPS-Agent ». Il a mis en place ses propres revendeurs et s'est procuré de l'espace serveur auprès de fournisseurs basés en Europe, et ces revendeurs de couverture sont ensuite utilisés pour fournir des serveurs opérationnels aux cyberacteurs pour mener des activités malveillantes. Par exemple, ces revendeurs de couverture ont été utilisés pour fournir un support technique à des individus identifiés basés au Liban pour héberger des sites Web affiliés au Hamas.
• Récolte d'informations open source. Suite à l'attaque du Hamas du 7 octobre 2023 contre Israël, Cotton Sandstorm a tenté d'identifier des informations concernant les pilotes de chasse et les opérateurs de drones israéliens en recherchant des informations sur de nombreuses plateformes, notamment Pastebin et LinkedIn. Il utilise également des ressources en ligne telles qu'ancestry.com et familysearch.org dans ses opérations, et recherche des informations via des ensembles de données précédemment divulgués.
• Incorporation de l'IA. Les agences ont déclaré que le groupe a été observé en train d'intégrer l'IA générative dans ses efforts de messagerie lors d'une opération appelée « For-Humanity ». Cette opération d'influence par cyber-assistance en décembre 2023 a eu un impact sur une société de streaming IPTV (Internet Protocol Television) basée aux États-Unis. Cette attaque a exploité l'accès non autorisé aux services de streaming IPTV pour diffuser des messages élaborés concernant le conflit militaire entre Israël et le Hamas.

Les agences ont ajouté que Cotton Sandstorm continue d'effectuer d'importantes opérations de reconnaissance, d'accès initial, de persistance et d'accès aux informations d'identification dans le cadre de ses opérations.

Se défendre contre les attaques de Cotton Sandstorm

Les agences ont défini une série de mesures d'atténuation que les organisations devraient prendre par rapport aux tactiques de Cotton Sandstorm. FrançaisCela comprend :

• Vérifier toutes les authentifications réussies sur votre réseau ou sur les comptes de votre entreprise à partir de services de réseau privé virtuel tels que Private Internet Access, Windscribe, ExpressVPN, Urban VPN et NordVPN
• Mettre en place des mesures pour garantir que les informations précédemment compromises ne peuvent pas être exfiltrées pour mener d'autres activités malveillantes contre votre réseau
• Utiliser des mises à jour régulières des applications et du système d'exploitation hôte pour assurer la protection contre les vulnérabilités connues
• Établir une sauvegarde hors ligne des serveurs
• Utiliser la validation des entrées utilisateur pour restreindre les vulnérabilités d'inclusion de fichiers locaux et distants
• Mettre en œuvre une politique de moindres privilèges sur le serveur Web
• Envisager de déployer une zone démilitarisée (DMZ) entre les systèmes Web de votre organisation et le réseau d'entreprise
• Utiliser des services d'hébergement réputés pour les sites Web et les systèmes de gestion de contenu (CMS)

L'avis a été émis par le Federal Bureau of Investigation (FBI), le Département du Trésor américain et la Direction nationale israélienne de la cybersécurité.