L’Iran soupçonné de pirater une société européenne de l’énergie | VPNoverview.com

Un groupe de piratage soutenu par l’État basé en Iran est soupçonné d’avoir piraté une société européenne de l’énergie. Le groupe aurait utilisé un cheval de Troie d’accès à distance (RAT) appelé PupyRAT dans leur attaque.


Qu’est-ce que PupyRAT

Pupy est un RAT open source écrit principalement en python qui peut donner aux attaquants un accès complet aux systèmes des victimes. Il s’agit d’un logiciel malveillant multiplateforme et peut ainsi s’infiltrer sur plusieurs plates-formes, à savoir Windows, Linux, OSX et Android.

Un cheval de Troie d’accès à distance (RAT) est un malware qui permet aux pirates de surveiller et de contrôler l’ordinateur ou le réseau d’une victime. Il fonctionne comme des programmes d’accès à distance légitimes souvent utilisés par le support technique pour aider les clients en cas de problèmes informatiques..

Bien que PupyRAT soit un malware open source, il est principalement lié aux campagnes de piratage soutenues par l’État iranien. Il est particulièrement associé au groupe de piratage soutenu par l’État APT 33. APT 33 a été impliqué dans des attaques passées contre des organisations du secteur de l’énergie dans le monde.

Comment le RAT a été déployé?

Les RAT ne peuvent être déployés que sur des systèmes précédemment compromis. Dans ce cas, les chercheurs ne savent pas comment le PupyRAT a été déployé mais croient qu’il a été distribué via des attaques de spear-phishing.

Les attaques par hameçonnage ciblent un seul destinataire plutôt qu’un grand nombre de destinataires comme avec les attaques de phishing normales. Les cybercriminels sélectionnent une cible au sein d’une organisation et utilisent les médias sociaux et d’autres informations publiques pour en savoir plus sur leur victime potentielle. Ils créent ensuite un faux e-mail adapté à cette personne.

Les précédentes campagnes APT 33 ont impliqué des attaquants sélectionnant une victime potentielle et gagnant leur confiance avant de finalement leur envoyer un document malveillant par e-mail. Par conséquent, les chercheurs pensent qu’il est probable que la même méthode de déploiement ait été utilisée dans ce cas.

Preuve de l’intrusion sur la compagnie d’énergie

Insikt Group de Recorded Future a rapporté hier avoir trouvé des preuves d’un serveur de commande et de contrôle (C2) PupyRAT discutant avec un serveur de messagerie de fin novembre 2019 au 5 janvier 2020.

Le rapport du groupe Insikt poursuit en expliquant que: “Bien que les métadonnées seules ne confirment pas un compromis, nous estimons que le volume élevé et les communications répétées du serveur de messagerie ciblé vers un PupyRAT C2 sont suffisants pour indiquer une intrusion probable.”

Le serveur de messagerie appartenait à une organisation européenne du secteur de l’énergie qui coordonne l’allocation et le financement des ressources énergétiques en Europe. Compte tenu du rôle de l’organisation, cette attaque présente un intérêt particulier, compte tenu notamment de l’augmentation des intrusions liées à l’Iran dans les logiciels ICS du secteur de l’énergie..

Phil Neray, vice-président de la cybersécurité industrielle chez CyberX, a déclaré: «Compte tenu des vastes dépendances transfrontalières à travers l’infrastructure énergétique européenne, cela semble être une décision stratégique de l’adversaire de se concentrer sur un objectif centralisé afin d’avoir un impact sur plusieurs pays à la en même temps, similaire à la valeur stratégique d’attaquer une seule station de transmission centrale plutôt que plusieurs sous-stations distantes – comme l’ont fait les acteurs de la menace russe dans l’attaque du réseau ukrainien de 2016 par rapport à leur attaque de 2015. »

Objectifs des attaquants

Les chercheurs pensent que cette dernière campagne de piratage contre les entreprises européennes du secteur de l’énergie était une mission de reconnaissance. La mission viserait à rassembler des connaissances importantes sur les processus des centrales énergétiques et leurs systèmes de contrôle industriel (ICS). Les attaquants cherchent également à identifier les faiblesses des processus et des infrastructures critiques des entreprises.

Priscilla Moriuchi, directrice du développement des menaces stratégiques chez Recorded Future explique: «L’activation des opérations ou des attaques destructrices nécessite ce type de reconnaissance et de perspicacité de plusieurs mois sur le comportement des responsables de ces entreprises et de comprendre comment une certaine capacité peut avoir un impact sur les informations ou la distribution d’énergie. Ressources.”

Pour des pays comme l’Iran, soupçonnés de parrainer ces groupes de piratage, ces connaissances peuvent être utilisées contre des adversaires en cas de conflit. Les informations peuvent être utilisées pour lancer des cyberattaques afin de paralyser les secteurs clés d’un adversaire, tels que l’électricité, l’eau et les transports..

Dans cette optique, il est intéressant de noter les dates de la campagne de piratage. Ceux-ci indiquent que la campagne de piratage a commencé avant la tension géopolitique provoquée par le meurtre du général iranien Qassem Soleimani. Par conséquent, cette cyberattaque ne pouvait pas être une attaque de représailles pour l’assassinat de Soleimani.

Attaques précédentes contre une infrastructure critique

Les attaques contre les systèmes ICS et les infrastructures critiques ont augmenté ces dernières années. La raison en est que ce sont des cibles relativement faciles.

Le principal problème avec les systèmes ICS et les infrastructures critiques comme les chemins de fer et les centrales électriques est que la plupart ont été construits avant la cybersécurité. Beaucoup de ceux-ci ne disposaient pas de système de sécurité et certains systèmes ICS n’en ont toujours pas. Lorsqu’ils sont ensuite équipés de systèmes de sécurité, il n’est pas toujours facile de savoir où les trous ont été laissés. En fait, de nombreux systèmes ICS, par exemple, sont pleins de vulnérabilités.

L’attaque la plus célèbre contre une infrastructure critique a été menée en 2012 à l’aide du logiciel malveillant Stuxnet. Stuxnet est un ver informatique qui cible spécifiquement les contrôleurs logiques programmables (API). Ceux-ci permettent l’automatisation des processus industriels et des processus de contrôle des machines.

Les chercheurs pensent que Stuxnet a été développé par les services de renseignement américain et israélien et a été utilisé pour attaquer une raffinerie nucléaire iranienne. Il a à la fois collecté des renseignements et détruit des milliers de centrifugeuses utilisées pour enrichir l’uranium.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map