Les États-Unis et leurs alliés mettent en garde contre les cyberattaques iraniennes contre les infrastructures critiques dans le cadre d’une campagne d’un an
Les agences de cybersécurité et de renseignement d’Australie, du Canada et des États-Unis ont mis en garde contre une campagne d’un an menée par des cyberacteurs iraniens pour infiltrer des organisations d’infrastructures critiques via des attaques par force brute.
« Depuis octobre 2023, des acteurs iraniens ont eu recours à la force brute et à la pulvérisation de mots de passe pour compromettre des comptes d’utilisateurs et obtenir l’accès à des organisations des secteurs de la santé et de la santé publique (HPH), du gouvernement, des technologies de l’information, de l’ingénierie et de l’énergie », ont déclaré les agences dans un avis conjoint.
Les attaques ont ciblé les secteurs de la santé, du gouvernement, des technologies de l’information, de l’ingénierie et de l’énergie, selon la police fédérale australienne (AFP), le Centre australien de cybersécurité (ACSC) de la Direction australienne des signaux, le Centre de la sécurité des télécommunications du Canada (CSE), le Federal Bureau of Investigation (FBI) des États-Unis, l’Agence de cybersécurité et de sécurité des infrastructures (CISA) et l’Agence de sécurité nationale (NSA).
Une autre tactique notable en dehors de la force brute et de la diffusion de mots de passe concerne l’utilisation de l’authentification multifacteur (MFA) pour pénétrer les réseaux d’intérêt.
« Le push bombing est une tactique employée par les acteurs malveillants qui inondent ou bombardent un utilisateur de notifications push MFA dans le but de manipuler l’utilisateur pour qu’il approuve la demande, soit involontairement, soit par agacement », a déclaré Ray Carney, directeur de recherche chez Tenable, dans un communiqué.
« Cette tactique est également appelée fatigue MFA. Une MFA résistante au phishing est le meilleur mécanisme pour empêcher le push bombing, mais si ce n’est pas une option, la correspondance des numéros (obligeant les utilisateurs à saisir un code spécifique à une heure à partir d’un système d’identité approuvé par l’entreprise) est une solution de secours acceptable. De nombreux systèmes d’identité ont la correspondance des numéros comme fonction secondaire. »
L’objectif final de ces attaques est probablement d’obtenir des informations d’identification et des informations décrivant le réseau de la victime qui peuvent ensuite être vendues pour permettre l’accès à d’autres cybercriminels, faisant écho à une alerte précédemment émise par les États-Unis en août 2024.
L’accès initial est suivi d’étapes visant à effectuer une reconnaissance approfondie des systèmes et du réseau de l’entité à l’aide d’outils de vie hors du terrain (LotL), d’une escalade des privilèges via CVE-2020-1472 (alias Zerologon) et d’un mouvement latéral via RDP. Il a également été découvert que l’acteur de la menace enregistre ses propres appareils avec MFA pour maintenir la persistance.
Les attaques, dans certains cas, sont caractérisées par l’utilisation de msedge.exe pour établir des connexions sortantes vers l’infrastructure de commandement et de contrôle (C2) de Cobalt Strike.
« Les acteurs ont effectué des recherches sur les réseaux compromis pour obtenir des informations d’identification supplémentaires et identifier d’autres informations qui pourraient être utilisées pour obtenir des points d’accès supplémentaires », ont déclaré les agences, ajoutant qu’ils « vendent ces informations sur des forums de cybercriminalité à des acteurs qui peuvent les utiliser pour mener des activités malveillantes supplémentaires ».
L’alerte intervient quelques semaines après que les agences gouvernementales des pays Five Eyes ont publié des directives sur les techniques courantes utilisées par les acteurs malveillants pour compromettre Active Directory.
« Active Directory est la solution d’authentification et d’autorisation la plus utilisée dans les réseaux informatiques d’entreprise à l’échelle mondiale », ont déclaré les agences . « Les acteurs malveillants ciblent régulièrement Active Directory dans le cadre de leurs efforts pour compromettre les réseaux informatiques d’entreprise en élevant les privilèges et en ciblant les objets utilisateur les plus confidentiels. »
Cela fait également suite à un changement dans le paysage des menaces dans lequel les équipes de piratage des États-nations collaborent de plus en plus avec les cybercriminels, externalisant certaines parties de leurs opérations pour favoriser leurs motivations géopolitiques et financières, a déclaré Microsoft .
« Les acteurs de la menace étatique mènent des opérations à des fins financières et font appel à des cybercriminels et à des logiciels malveillants de grande consommation pour collecter des renseignements », a noté le géant de la technologie dans son rapport sur la défense numérique pour 2024.
« Les acteurs de la menace étatique mènent des opérations à des fins financières, recrutent des cybercriminels pour recueillir des renseignements sur l’armée ukrainienne et utilisent les mêmes voleurs d’informations, cadres de commandement et de contrôle et autres outils privilégiés par la communauté cybercriminelle. »