Des pirates iraniens piratent des serveurs VPN pour planter des portes dérobées dans des entreprises du monde entier | ZDNet

0 4

vpn-access.png

Image: ClearSky

Une fonction spéciale

La cyberguerre et l'avenir de la cybersécurité

La portée et la gravité des menaces de sécurité d'aujourd'hui ont augmenté. Il peut désormais y avoir des millions, voire des milliards de dollars à risque lorsque la sécurité des informations n'est pas gérée correctement.

Lire la suite

2019 restera dans les mémoires comme l'année où des bogues de sécurité majeurs ont été révélés dans un grand nombre de serveurs VPN d'entreprise, tels que ceux vendus par Pulse Secure, Palo Alto Networks, Fortinet et Citrix.

Un nouveau rapport publié aujourd'hui révèle que les unités de piratage soutenues par le gouvernement iranien ont fait une priorité absolue l'année dernière pour exploiter les bogues VPN dès qu'ils sont devenus publics afin d'infiltrer et de planter des portes dérobées dans des entreprises du monde entier.

Selon un rapport de la firme israélienne de cybersécurité ClearSky, les pirates iraniens ont ciblé des entreprises « des secteurs de l'informatique, des télécommunications, du pétrole et du gaz, de l'aviation, du gouvernement et de la sécurité ».

Certaines attaques ont eu lieu quelques heures après la divulgation publique

Le rapport vient dissiper l'idée que les pirates iraniens ne sont pas sophistiqués et moins talentueux que leurs homologues russes, chinois ou nord-coréens.

ClearSky dit que « les groupes iraniens de l'APT ont développé de bonnes capacités offensives techniques et sont capables d'exploiter les vulnérabilités d'un jour sur des périodes relativement courtes ».

Dans certains cas, ClearSky a déclaré avoir observé des groupes iraniens exploitant des failles VPN dans les heures suivant la divulgation publique des bogues.

* ATP signifie menace persistante avancée et est un terme souvent utilisé pour décrire les unités de piratage des États-nations

ClearSky dit qu'en 2019, les groupes iraniens ont rapidement armé les vulnérabilités révélées dans le VPN Pulse Secure « Connect » (CVE-2019-11510), le VPN Fortinet FortiOS (CVE-2018-13379) et Palo Alto Networks « Global Protect » VPN (CVE-2019-1579).

Les attaques contre ces systèmes ont commencé l'été dernier, lorsque des détails sur les bogues ont été rendus publics, mais ils se sont également poursuivis en 2020.

De plus, comme des détails sur d'autres failles VPN ont été rendus publics, des groupes iraniens ont également inclus ces exploits dans leurs attaques (à savoir CVE-2019-19781, une vulnérabilité révélée dans les VPN Citrix « ADC »).

Piratage des objectifs d'entreprise pour planter des portes dérobées

Selon le rapport ClearSky, le but de ces attaques est de violer les réseaux d'entreprise, de se déplacer latéralement dans leurs systèmes internes et de planter des portes dérobées pour les exploiter à une date ultérieure.

Alors que la première étape (violation) de leurs attaques visait les VPN, la deuxième phase (mouvement latéral) impliquait une collection complète d'outils et de techniques, montrant à quel point ces unités de piratage iraniennes étaient devenues avancées ces dernières années.

Par exemple, les pirates ont abusé d'une technique connue depuis longtemps pour obtenir des droits d'administrateur sur les systèmes Windows via l'outil d'accessibilité « Sticky Keys » (1, 2, 3, 4).

Ils ont également exploité des outils de piratage open source comme JuicyPotato et Invoquer le hachage, mais ils ont également utilisé des logiciels sysadmin légitimes tels que Putty, Plink, Ngrok, Serveo ou FRP.

De plus, dans le cas où les pirates n'ont pas trouvé d'outils open source ou d'utilitaires locaux pour les aider dans leurs attaques, ils avaient également les connaissances nécessaires pour développer des logiciels malveillants personnalisés. ClearSky dit avoir trouvé des outils comme:

  • STSRCheck – Bases de données auto-développées et outil de cartographie des ports ouverts.
  • POWSSHNET – Logiciel malveillant de porte dérobée auto-développé pour le tunneling RDP sur SSH.
  • VBScripts personnalisés – Scripts pour télécharger des fichiers TXT à partir du serveur de commande et de contrôle (C2or C&C) et unifier ces fichiers dans un fichier exécutable portable.
  • Porte dérobée basée sur socket sur cs.exe – Un fichier EXE utilisé pour ouvrir une connexion basée sur socket vers une adresse IP codée en dur.
  • Port.exe – Outil pour analyser les ports prédéfinis pour une adresse IP.
stsrcheck.png

Image: ClearSky

powsshnet.png

Image: ClearSky

Plusieurs groupes agissant comme un seul

Une autre révélation du rapport ClearSky est que les groupes iraniens semblent également collaborer et agir comme un tout, ce qui n'a pas été vu par le passé.

Les rapports précédents sur les activités de piratage iraniennes détaillaient différents groupes d'activités, généralement le travail d'un seul groupe.

Le rapport ClearSky souligne que les attaques contre les serveurs VPN à travers le monde semblent être l'œuvre d'au moins trois groupes iraniens – à savoir APT33 (Elfin, Shamoon), APT34 (Oilrig) et APT39 (Chafer).

Le traitement des attaques d'effacement des données

Actuellement, le but de ces attaques semble être d'effectuer des reconnaissances et de planter des portes dérobées pour les opérations de surveillance.

Cependant, ClearSky craint que l'accès à tous ces réseaux d'entreprise infectés ne puisse également être armé à l'avenir pour déployer des logiciels malveillants d'effacement des données qui peuvent saboter les entreprises et détruire les réseaux et les opérations commerciales.

De tels scénarios sont possibles et très plausibles. Depuis septembre 2019, deux nouvelles souches de logiciels malveillants d'effacement des données (ZeroCleare et Éboueur) ont été découverts et liés à des pirates iraniens.

En outre, ClearSky n'exclut pas non plus que les pirates iraniens pourraient exploiter l'accès à ces entreprises violées pour des attaques de la chaîne d'approvisionnement contre leurs clients.

Cette théorie est appuyée par le fait qu'au début du mois, le FBI a envoyé une alerte de sécurité au secteur privé américain attaques en cours contre les sociétés de la chaîne logistique, « y compris les entités prenant en charge les systèmes de contrôle industriel (ICS) pour la production, la transmission et la distribution mondiales d'énergie. » Le secteur de l'ICS et de l'énergie a été une cible traditionnelle pour les groupes de piratage iraniens dans le passé.

La même alerte du FBI a noté des liens entre les logiciels malveillants déployés dans ces attaques et le code précédemment utilisé par le groupe iranien APT33, suggérant fortement que des pirates iraniens pourraient être à l'origine de ces attaques.

De plus, l'attaque contre Bapco, la compagnie pétrolière nationale de Bahreïn, a utilisé la même tactique « violation VPN -> se déplacer latéralement » que ClearSky a décrite dans son rapport.

ClearSky prévient désormais qu'après des mois d'attaques, les entreprises qui ont finalement corrigé leurs serveurs VPN devraient également analyser leurs réseaux internes pour détecter tout signe de compromis.

le Rapport ClearSky comprend des indicateurs de compromis (IOC) que les équipes de sécurité peuvent utiliser pour analyser les journaux et les systèmes internes à la recherche de signes d'une intrusion par un groupe iranien.

Cependant, les mêmes défauts ont également été exploités par Pirates chinois et multiple groupes de ransomware et de cryptomining.

Nouvelles failles VPN

En outre, compte tenu des conclusions du rapport ClearSky, nous pouvons également nous attendre à ce que les pirates iraniens sautent également sur l'occasion d'exploiter de nouvelles failles VPN une fois qu'elles seront rendues publiques.

Cela signifie que nous pouvons nous attendre à ce que les pirates iraniens ciblent très probablement les serveurs SonicWall SRA et SMA VPN à l'avenir après que les chercheurs en sécurité aient commencé plus tôt cette semaine publié des détails sur six vulnérabilités affectant ces deux produits.

Cet article est apparu en premier sur https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/

Laisser un commentaire

Votre adresse email ne sera pas publiée.