L'activité incessante de la menace iranienne suscite des avertissements et des inculpations de la part du gouvernement américain

Les acteurs iraniens de la menace ont été sur le radar et dans le collimateur du gouvernement américain et des chercheurs en sécurité ce mois-ci avec ce qui semble être une montée en puissance et une répression ultérieure contre activité de menace des groupes de menace persistante avancée (APT) associés au Corps des gardiens de la révolution islamique (CGRI) iranien.

Le gouvernement américain a simultanément révélé mercredi un schéma de piratage élaboré par et mises en accusation contre plusieurs ressortissants iraniens grâce à des documents judiciaires récemment descellés, et a averti les organisations américaines de l'activité iranienne de l'APT de exploiter les vulnérabilités connues - y compris le ProxyShell largement attaqué et Log4Shell défauts - dans le but d'attaques de ransomwares.

Pendant ce temps, des recherches distinctes ont récemment révélé qu'un acteur menaçant parrainé par l'État iranien était suivi sous le nom d'APT42. a été liée à plus de 30 attaques de cyberespionnage confirmées depuis 2015, ciblant des individus et des organisations d'importance stratégique pour l'Iran, avec des cibles en Australie, en Europe, au Moyen-Orient et aux États-Unis.

La nouvelle survient au milieu des tensions croissantes entre les États-Unis et l'Iran à la suite de sanctions imposées contre la nation islamique pour sa récente activité APT, y compris une cyberattaque contre le Gouvernement albanais en juillet, qui a provoqué la fermeture des sites Web du gouvernement et des services publics en ligne, et a été largement fustigé.

De plus, avec la montée des tensions politiques entre l'Iran et l'Occident à mesure que le pays s'aligne plus étroitement sur la Chine et la Russie, la motivation politique de l'Iran pour son activité de cyber-menace augmente, ont déclaré des chercheurs. Les attaques sont plus susceptibles d'être motivées par des raisons financières lorsqu'elles sont confrontées à des sanctions d'ennemis politiques, note Nicole Hoffman, analyste principale du renseignement sur les cybermenaces chez le fournisseur de solutions de protection contre les risques Digital Shadows.

Persistant et avantageux

Pourtant, alors que les gros titres semblent refléter une recrudescence de l'activité récente de cybermenaces des APT iraniens, les chercheurs ont déclaré que les nouvelles récentes d'attaques et d'actes d'accusation reflètent davantage l'activité persistante et continue de l'Iran pour promouvoir ses intérêts cybercriminels et son programme politique à travers le monde. .

"L'augmentation des reportages médiatiques sur l'activité de cyber-menace de l'Iran n'est pas nécessairement corrélée à un pic de ladite activité", a noté l'analyste de Mandiant Emiel Haeghebaert dans un e-mail à Dark Reading.

"Si vous faites un zoom arrière et regardez toute l'étendue de l'activité des États-nations, l'Iran n'a pas ralenti ses efforts", reconnaît Aubrey Perin, analyste principal des renseignements sur les menaces chez Qualys. "Comme tout groupe organisé, leur persévérance est la clé de leur succès, à la fois à long terme et à court terme."

Pourtant, l'Iran, comme tout acteur menaçant, est opportuniste, et la peur et l'incertitude omniprésentes qui existent actuellement en raison des défis géopolitiques et économiques - tels que la guerre en cours en Ukraine, l'inflation et d'autres tensions mondiales - soutiennent certainement leurs efforts APT, il dit.

Avis aux autorités

La confiance et l'audace croissantes des APT iraniennes ne sont pas passées inaperçues auprès des autorités mondiales, y compris celles des États-Unis, qui semblent en avoir assez des cyber-engagements hostiles persistants de la nation, les ayant endurés pendant au moins la dernière décennie.

Un acte d'accusation qui a été descellé mercredi par le ministère de la Justice (DoJ), le bureau du procureur américain du district du New Jersey, a mis en lumière l'activité de ransomware qui s'est produite entre février 2021 et février 2022 et a touché des centaines de victimes dans plusieurs États américains, dont l'Illinois, Mississippi, New Jersey, Pennsylvanie et Washington.

L'acte d'accusation a révélé qu'entre octobre 2020 et aujourd'hui, trois ressortissants iraniens - Mansour Ahmadi, Ahmad Khatibi Aghda et Amir Hossein Nickaein Ravari - se sont livrés à des attaques de rançongiciels qui ont exploité des vulnérabilités connues pour voler et crypter les données de centaines de victimes aux États-Unis, Royaume-Uni, Israël, Iran et ailleurs.

L'Agence de cybersécurité et de sécurité des infrastructures (CISA), le FBI et d'autres agences ont par la suite averti que des acteurs associés à l'IRGC, une agence gouvernementale iranienne chargée de défendre le leadership contre les menaces internes et externes perçues, ont exploité et continueront probablement d'exploiter Microsoft et vulnérabilités Fortinet - y compris une faille Exchange Server connue sous le nom de ProxyShell — en activité qui a été détectée entre décembre 2020 et février 2021.

Les attaquants, soupçonnés d'agir à la demande d'un APT iranien, ont utilisé les vulnérabilités pour obtenir un accès initial à des entités dans plusieurs secteurs et organisations d'infrastructures critiques américains en Australie, au Canada et au Royaume-Uni pour des ransomwares et d'autres opérations cybercriminelles, les agences a dit.

Les acteurs de la menace protègent leurs activités malveillantes en utilisant deux noms de société : Najee Technology Hooshmand Fater LLC, basée à Karaj, en Iran ; et Afkar System Yazd Company, basée à Yazd, en Iran, selon les actes d'accusation.

APT42 et comprendre les menaces

Si la récente série de gros titres axés sur les APT iraniens semble vertigineuse, c'est parce qu'il a fallu des années d'analyse et de recherche juste pour identifier l'activité, et les autorités et les chercheurs essaient toujours de comprendre tout cela, dit Hoffman de Digital Shadows.

"Une fois identifiées, ces attaques prennent également un temps raisonnable pour enquêter", dit-elle. "Il y a beaucoup de pièces de puzzle à analyser et à assembler."

Les chercheurs de Mandiant ont récemment assemblé un puzzle qui a révélé ans d'activité de cyberespionnage qui commence par du harponnage mais conduit à la surveillance et à la surveillance des téléphones Android par APT42 lié à l'IRGC, considéré comme un sous-ensemble d'un autre groupe menaçant iranien, APT35/Charmant chaton/Phosphore.

Ensemble, les deux groupes sont également connecté à un cluster de menaces non catégorisé suivi comme UNC2448, identifié par Microsoft et Secureworks comme un sous-groupe Phosphorus menant des attaques de ransomwares à des fins financières en utilisant BitLocker, ont déclaré des chercheurs.

Pour compliquer encore l'intrigue, ce sous-groupe semble être dirigé par une société utilisant deux pseudonymes publics, Secnerd et Lifeweb, qui ont des liens avec l'une des sociétés dirigées par les ressortissants iraniens mis en examen dans l'affaire du DoJ : Najee Technology Hooshmand.

Même si les organisations absorbent l'impact de ces révélations, les chercheurs ont déclaré que les attaques sont loin d'être terminées et qu'elles se diversifieront probablement à mesure que l'Iran poursuit son objectif d'exercer une domination politique sur ses ennemis, a noté Haeghebaert de Mandiant dans son e-mail.

"Nous estimons que l'Iran continuera à utiliser le spectre complet des opérations permises par ses cybercapacités à long terme", a-t-il déclaré à Dark Reading. "En outre, nous pensons que les activités perturbatrices utilisant des rançongiciels, des essuie-glaces et d'autres techniques de verrouillage et de fuite pourraient devenir de plus en plus courantes si l'Iran reste isolé sur la scène internationale et que les tensions avec ses voisins de la région et l'Occident continuent de s'aggraver."