Incidents associés
Un groupe iranien de cyber-opérations, Emennet Pasargad, également connu sous le nom de Cotton Sandstorm, a élargi ses attaques, élargissant ses cibles au-delà d'Israël et des États-Unis et ciblant de nouveaux actifs informatiques, tels que des caméras IP.
Dans un avis publié la semaine dernière, les ministères américains de la Justice et du Trésor, ainsi que la Direction nationale israélienne de la cybersécurité (INCD), ont dénoncé le changement de tactique et noté que le groupe avait fourni des ressources et des services d'infrastructure à des groupes de menaces du Moyen-Orient en opérant comme une entreprise légitime, Aria Sepehr Ayandehsazan (ASA). En outre, depuis le début de l'année, Emennet Pasargad a recherché des caméras IP, ciblé des organisations en France et en Suède, et sondé activement divers sites et systèmes électoraux, selon l'avis du gouvernement.
« De la même manière que la campagne Emennet qui a ciblé l’élection présidentielle américaine de 2020, le FBI estime que les récentes campagnes du groupe comprennent un mélange d’activités d’intrusion informatique et d’affirmations exagérées ou fictives d’accès aux réseaux des victimes ou de données volées pour renforcer les effets psychologiques de leurs opérations », indique l’avis [https://www.ic3.gov/CSA/2024/241030.pdf].
Les derniers renseignements mettent en évidence le recours croissant de l’Iran aux cyberopérations comme moyen de cibler ses ennemis présumés. En 2020 et 2022, Emennet Pasargad a créé des campagnes de désinformation pour cibler les élections présidentielles et de mi-mandat américaines https://www.darkreading.com/threat-intelligence/fbi-iranian-threat-group-likely-to-target-us-midterms, se faisant passer pour des volontaires des Proud Boys et envoyant de fausses vidéos aux législateurs républicains. Le ministère américain de la Justice a inculpé deux ressortissants iraniens pour ces crimes, ainsi que pour avoir envoyé des menaces par courrier électronique et tenté de pirater des sites Web électoraux.
Au cours de l'année écoulée, l'Iran a intensifié ses tentatives d'utilisation de cyberattaques pour perturber ses ennemis en utilisant des tactiques plus audacieuses, déclare John Fokker, responsable du renseignement sur les menaces pour Trellix, une société de détection et de réponse aux menaces.
« Depuis octobre 2023, le début de la crise israélo-palestinienne, les pirates iraniens ont intensifié leurs activités contre les États-Unis et Israël, ciblant des secteurs critiques tels que le gouvernement, l'énergie et la finance », dit-il. « Nous avons observé des acteurs liés à l'Iran perturber des organisations en volant des données sensibles, en menant des attaques par déni de service et en déployant des logiciels malveillants destructeurs tels que des ransomwares ou des souches d'effaceurs, comme l'effaceur Handala. »
Les cyberattaquants iraniens élargissent leurs horizons
Emennet Pasargad opère souvent en se faisant passer pour une société de services informatiques légitime, ASA, comme façade pour accéder aux services de modèles de langages de grande taille (LLM) et pour analyser et récolter des données sur les caméras IP. Le groupe a « utilisé plusieurs fournisseurs d'hébergement de couverture pour la gestion et l'obscurcissement des infrastructures », a ajouté le Joint Cybersecurity Advisory.
Le recours à une société écran pour dissimuler des opérations et les faire paraître légitimes est une approche courante pour les acteurs de la menace iranienne, explique Tomer Bar, vice-président de la recherche en sécurité chez SafeBreach, un fournisseur de plateformes de simulation de violations et d'attaques qui a des bureaux à Tel-Aviv. Par exemple, Charming Kitten, ou APT35, a mené des reconnaissances et des attaques sous le couvert de deux sociétés, Najee Technology et Afkar System, qui ont été sanctionnées par le département du Trésor américain en 2022.
"Le recours à une société écran n'est pas nouveau, et elle a été utilisée par l'Iran à la fois à des fins d'espionnage et de distraction", explique Bar.
Cela donne également aux groupes la possibilité d'utiliser des services commerciaux dans le cadre de leur infrastructure et de cacher leurs activités --- pendant un certain temps, explique Fokker de Trellix.
"Les acteurs de la menace doivent acquérir des ressources, des logiciels et un hébergement pour leurs activités illicites", dit-il. « Avoir une société écran « légitime » facilitera l'acquisition de ces services et peut servir de protection supplémentaire pour donner une dénégation plausible. »
Les gouvernements et les entreprises devraient faire le point
L'évolution des tactiques souligne que les organisations doivent continuellement ajuster leurs défenses pour se protéger des groupes de menaces. Les entreprises et les agences gouvernementales ne doivent acheter de la technologie et des logiciels qu'à des fournisseurs de confiance et doivent s'assurer que ces fournisseurs disposent de leurs propres processus de validation de la chaîne d'approvisionnement et de correction des vulnérabilités.
Le Joint Cybersecurity Advisory a appel�é les organisations à examiner toutes les authentifications réussies aux services réseau ou cloud provenant de services de réseau privé virtuel, tels que Private Internet Access, ExpressVPN et NordVPN. En plus d'appliquer régulièrement des mises à jour et de créer un processus de sauvegarde résilient, les entreprises devraient envisager de déployer une « zone démilitarisée » (DMZ) entre tous les actifs connectés à Internet et le réseau de l'entreprise, de valider les entrées des utilisateurs et de mettre en œuvre des politiques de moindre privilège sur leurs réseaux et applications.
SafeBreach a constaté que des attaquants parcouraient régulièrement LinkedIn à la recherche de travailleurs qui mettaient à jour leur profil avec un nouveau poste, envoyant un SMS ou un e-mail de spear phishing en tant qu'administrateur d'entreprise leur demandant de se connecter à un système d'entreprise. Les attaquants capturaient ensuite les identifiants de la victime via un lien malveillant.
Fokker de Trellix souligne également que les entreprises devraient se concentrer sur leurs appareils connectés, en appliquant des correctifs pour les caméras et autres matériels, en utilisant la segmentation du réseau pour les protéger et en analysant régulièrement leur propre espace IP, avant qu'un attaquant ne le fasse.
"De plus en plus de gouvernements envisagent l'analyse proactive des espaces IP et la notification des organisations nationales comme une couche supplémentaire en plus des exigences plus strictes des fabricants", dit-il. "D'abord et avant tout, cela devrait être la responsabilité de l'organisation elle-même. Cependant, il serait utile que le gouvernement participe à ce processus et alerte les organisations ignorantes de leurs caméras vulnérables."