Un nouveau rapport révèle que les unités de piratage soutenues par le gouvernement iranien ont fait de l’exploitation des bogues VPN qui ont été rendus publics l’une de leurs priorités absolues l’année dernière afin d’infiltrer et de planter des portes dérobées dans les réseaux des entreprises. Au cours du dernier trimestre de 2019, l’équipe de recherche du spécialiste en cybersécurité ClearSky a découvert une campagne offensive iranienne généralisée qu’elle a baptisée « Campagne Fox Kitten ». Cette campagne a été menée au cours des trois dernières années contre de nombreuses entreprises dans le monde.
Pendant la campagne, les attaquants ont réussi à accéder et à s’implanter de manière persistante dans les réseaux de nombreuses entreprises et organisations des secteurs des technologies de l’information, des télécommunications, du pétrole et du gaz, de l’aviation, du gouvernement et de la sécurité.
« Nous estimons que la campagne dont nous parlons dans ce rapport figure parmi les campagnes iraniennes les plus continues et les plus complètes révélées jusqu’à présent. Outre les logiciels malveillants, la campagne comprend une infrastructure entière dédiée à assurer la capacité durable de contrôler et d’accéder pleinement aux cibles choisies par les Iraniens. La campagne révélée a été utilisée comme infrastructure de reconnaissance; cependant, elle peut également être utilisée comme plateforme pour propager et activer des logiciels malveillants destructeurs tels que ZeroCleare et Dustman, liés à APT34 », notent les chercheurs.
Lors de leur analyse, ils ont constaté un chevauchement, avec une probabilité moyenne élevée, entre l’infrastructure de cette campagne et l’activité d’un groupe offensif iranien APT34-OilRig. De plus, ils ont identifié, avec une probabilité moyenne, un lien entre cette campagne et les groupes APT33-Elfin et APT39-Chafer. La campagne a d’abord été révélée par Dragos, nommée « Parisite » et attribuée à APT33; c’est la campagne globale révélée dans le rapport qu’ils ont baptisé « Fox Kitten ».
« Nous évaluons avec une probabilité moyenne que les groupes offensifs iraniens (APT34 et APT33) travaillent ensemble depuis 2017, bien que l’infrastructure que nous révélons s’attaque à un grand nombre de sociétés en Israël et dans le monde ».
L’infrastructure de la campagne a été utilisée pour :
Développer et maintenir des voies d’accès aux organisations ciblées ;
Voler des informations précieuses aux organisations ciblées ;
Maintenir une présence durable dans les organisations ciblées ;
Atteindre d’autres entreprises par le biais d’attaques de la chaîne d’approvisionnement.
La campagne a été menée en utilisant une variété d’outils offensifs, dont la plupart basés sur du code open source et certains ont été développés par ces groupes.
Une capacité à exploiter les failles 1-day dans l’heure
Le rapport vient dissiper l’idée que les hackers iraniens ne sont pas aussi sophistiqués ou moins talentueux que leurs homologues russes, chinois ou nord-coréens. ClearSky a noté que « les groupes iraniens APT ont développé de bonnes capacités offensives techniques et sont capables d’exploiter les vulnérabilités 1-Day sur des périodes relativement courtes ». Dans certains cas, ClearSky a déclaré avoir observé des groupes iraniens exploitant des failles VPN dans les heures suivant la divulgation publique des bogues.
ClearSky a noté qu’en 2019, les groupes iraniens ont rapidement armé les vulnérabilités révélées dans le VPN Pulse Secure Connect (CVE-2019-11510), le VPN Fortinet FortiOS (CVE-2018-13379) et Palo Alto Networks Global Protect VPN (CVE-2019-1579). Les attaques contre ces systèmes ont commencé l’été dernier, lorsque les détails sur les bogues ont été rendus publics, mais elles se sont également poursuivies en 2020.
De plus, comme des détails sur d’autres failles VPN ont été rendus publics, des groupes iraniens ont également inclus ces exploits dans leurs attaques (à savoir CVE-2019-19781, une vulnérabilité révélée dans les VPN Citrix ADC).
Selon le rapport ClearSky, le but de ces attaques est de pénétrer les réseaux d’entreprise, de se déplacer latéralement dans leurs systèmes internes et de planter des portes dérobées pour les exploiter à une date ultérieure. Alors que la première étape (violation) de leurs attaques visait les VPN, la deuxième phase (mouvement latéral) impliquait une collection complète d’outils et de techniques, montrant à quel point ces unités de piratage iraniennes étaient devenues avancées ces dernières années.
Par exemple, les pirates ont abusé d’une technique connue depuis longtemps pour obtenir des droits d’administrateur sur les systèmes Windows via l’outil d’accessibilité Sticky Keys. Ils ont également exploité des outils de piratage open source comme JuicyPotato et Invoke the Hash, mais ils ont également utilisé des logiciels sysadmin légitimes comme Putty, Plink, Ngrok, Serveo ou FRP.
De plus, dans le cas où les pirates n’ont pas trouvé d’outils open source ou d’utilitaires locaux pour les aider dans leurs attaques, ils avaient également les connaissances nécessaires pour développer des logiciels malveillants personnalisés. ClearSky dit avoir trouvé des outils comme :
STSRCheck : bases de données et outil de cartographie des ports ouverts.
POWSSHNET : logiciel malveillant de porte dérobée pour le tunneling RDP sur SSH.
VBScripts personnalisés : des scripts pour télécharger des fichiers TXT à partir du serveur de commande et de contrôle (C&C) et unifier ces fichiers dans un fichier exécutable portable.
Porte dérobée basée sur socket sur cs.exe : un fichier EXE utilisé pour ouvrir une connexion basée sur socket vers une adresse IP codée en dur.
Port.exe : un outil pour analyser les ports prédéfinis pour une adresse IP.
L’union fait la force
Une autre révélation du rapport ClearSky est que les groupes iraniens semblent également collaborer et agir comme un seul, ce qui n’a pas été vu dans le passé. Les rapports précédents sur les activités de piratage iraniennes détaillaient différents clusters d’activités, généralement il s’agissait du travail d’un seul groupe. Le rapport ClearSky souligne que les attaques contre les serveurs VPN à travers le monde semblent être l’œuvre d’au moins trois groupes iraniens - à savoir APT33 (Elfin, Shamoon), APT34 (Oilrig) et APT39 (Chafer).
Actuellement, le but de ces attaques semble être d’effectuer des reconnaissances et de planter des portes dérobées pour les opérations de surveillance. Cependant, ClearSky craint que l’accès à tous ces réseaux d’entreprise infectés ne puisse également être armé à l’avenir pour déployer des logiciels malveillants d’effacement des données qui peuvent saboter les entreprises et détruire les réseaux et les opérations commerciales.
De tels scénarios sont possibles et très plausibles. Depuis septembre 2019, deux nouvelles souches de logiciels malveillants d’effacement des données (ZeroCleare et Dustman) ont été découvertes et liées à des pirates iraniens. En outre, ClearSky n’exclut pas non plus que les pirates iraniens pourraient exploiter l’accès non autorisé à ces entreprises pour lancer des attaques de la chaîne d’approvisionnement contre leurs clients.
Cette théorie est étayée par le fait qu’au début du mois, le FBI a envoyé une alerte de sécurité au secteur privé américain pour mettre en garde contre les attaques en cours contre les sociétés de la chaîne d’approvisionnement de logiciels « y compris les entités soutenant les Industrial Control Systems (ICS) pour la production, la transmission et la distribution d’énergie ». L’ICS et le secteur de l’énergie ont été à plusieurs reprises des cibles pour les groupes de piratage iraniens dans le passé.
La même alerte du FBI a noté des liens entre les logiciels malveillants déployés dans ces attaques et le code précédemment utilisé par le groupe iranien APT33, suggérant fortement que des pirates iraniens pourraient être à l’origine de ces attaques. En outre, l’attaque contre Bapco, la compagnie pétrolière nationale de Bahreïn, a utilisé la même tactique « violation d’un VPN puis déplacement latéral » que ClearSky a décrite dans son rapport.
ClearSky prévient désormais qu’après des mois d’attaques, les entreprises qui ont finalement corrigé leurs serveurs VPN devraient également analyser leurs réseaux internes pour détecter tout signe de compromission. Le rapport ClearSky comporte des indicateurs de compromissions que les équipes de sécurité peuvent utiliser pour analyser les journaux et les systèmes internes à la recherche de signes d’une intrusion par un groupe iranien. Cependant, les mêmes failles ont également été exploitées par des pirates chinois et plusieurs groupes de ransomware et de cryptomining.
Conclusions clés du rapport
Les groupes iraniens APT ont réussi à pénétrer et à voler des informations à des dizaines d’entreprises à travers le monde au cours des trois dernières années.
Le vecteur d’attaque le plus efficace et le plus utilisé par les groupes iraniens APT au cours des trois dernières années a été l’exploitation de vulnérabilités connues dans des systèmes avec des services VPN et RDP non patchés, afin d’infiltrer et de prendre le contrôle des stockages d’informations critiques de l’entreprise.
Ce vecteur d’attaque n’est pas utilisé exclusivement par les groupes iraniens APT; il est devenu le principal vecteur d’attaque des groupes de cybercriminalité, des attaques de rançongiciels et d’autres groupes offensifs parrainés par l’État.
Le spécialiste estime que ce vecteur d’attaque est significatif également en 2020, apparemment en exploitant de nouvelles vulnérabilités dans les VPN et autres systèmes distants (comme le dernier existant dans Citrix).
Les groupes APT iraniens ont développé de bonnes capacités offensives techniques et sont capables d’exploiter les vulnérabilités 1-day sur des périodes relativement courtes, allant de plusieurs heures à une semaine ou deux.
Depuis 2017, le spécialiste identifie des groupes iraniens APT se concentrant sur les sociétés informatiques qui fournissent une large gamme de services à des milliers d’entreprises. La violation de ces sociétés informatiques est particulièrement précieuse, car elles permettent d’atteindre les réseaux d’entreprises supplémentaires.
Après avoir eu des accès non autorisés sur les réseaux d’organisations, les attaquants maintiennent généralement une redondance opérationnelle en installant et en créant plusieurs points d’accès supplémentaires au réseau central de l’entreprise. Par conséquent, l’identification et la fermeture d’un point d’accès ne bloquent pas nécessairement la capacité de poursuivre les opérations à l’intérieur du réseau.
Le spécialiste évalue avec une probabilité moyenne élevée que les groupes iraniens APT (APT34 et APT33) partagent les infrastructures d’attaque. En outre, il peut s’agir d’un groupe qui a été artificiellement marqué ces dernières années comme deux ou trois groupes APT distincts.
Le temps nécessaire pour identifier un attaquant sur un réseau compromis est long et varie d’un mois à pas du tout. La capacité de surveillance existante permettant aux organisations d’identifier et de bloquer un attaquant entré via des outils de communication à distance est difficile, voire impossible.