Révélation sur le Groupe de Hackers Iranien APT33
Le groupe APT33 a ciblé les secteurs de l’énergie et de l’aéronautique. Découverte de leurs activités et leurs techniques.
La société FireEye vient de publier une étude sur les pirates informatiques d’APT33. Des pirates qui planeraient du côté de l’Iran. Des « black hackers » qui mènent des opérations de cyber espionnage depuis au moins 2013. Selon l’étude, ils travailleraient probablement pour le gouvernement iranien. Cette information est le résultat d’investigations menées récemment par les consultants de FireEye Mandiant incident response.
Les cibles d’APT33
APT33 a ciblé des organisations – dans de multiples secteurs d’activités – basées aux États-Unis, en Arabie Saoudite et en Corée du Sud. Le groupe a montré un intérêt particulier pour des organisations dans le secteur aéronautique actives à la fois dans les domaines civil et militaire, ainsi que pour des organisations dans le secteur de l’énergie ayant des liens avec la production pétrochimique.
De la mi 2016 aux premiers mois de 2017, APT33 a compromis une organisation du secteur aéronautique basée aux USA et un conglomérat basé en Arabie Saoudite opérant dans l’aéronautique. Au cours de la même période, le groupe a également ciblé une société sud coréenne dans le domaine de la pétrochimie et du raffinage pétrolier.
En mai 2017, APT33 a semblé cibler une organisation en Arabie Saoudite et un conglomérat sud coréen en utilisant un fichier malicieux qui incitait ses victimes à répondre à des offres d’emploi dans une société pétrochimique en Arabie Saoudite.
Les analystes de FireEye pensent que le ciblage de l’organisation basée en Arabie Saoudite peut avoir été une tentative de récolte d’informations sur des entreprises rivales dans la région, tandis que le ciblage de sociétés sud coréennes pourrait être due aux partenariats noués entre la Corée du Sud et l’industrie pétrochimique iranienne, ainsi qu’aux relations qu’entretient la Corée du Sud avec des sociétés pétrochimiques d’Arabie Saoudite. APT33 peut avoir ciblé ces organisations en raison du désir de l’Iran d’accroître sa propre production pétrochimique et d’améliorer sa compétitivité dans la région.
Spear Phishing d’APT33
Le groupe a envoyé des mails de ‘spear phishing’ à des employés travaillant dans le secteur aéronautique. Ces courriels intégraient des leurres liés à des offres d’emploi, et contenaient des liens vers des fichiers HTML malicieux. Les fichiers contenaient des descriptions de postes et des liens vers des offres d’emploi légitimes sur de grands sites de recherche d’emploi correspondant au profil des individus ciblés.
Dans plusieurs cas, les opérateurs d’APT33 ont laissé les valeurs par défaut du module de ‘phishing’ qu’il utilise connu sous le nom de ALFASHELL. Ils ont cherché à corriger cette erreur, car dans les quelques minutes suivant l’envoi des emails avec les valeurs par défaut, le groupe a envoyé des emails aux mêmes destinataires, mais sans les valeurs par défaut.
Usurpation de noms de domaine
APT33 a enregistré de multiples domaines en se faisant passer pour des sociétés aéronautiques d’Arabie Saoudite et des organisations occidentales ayant des partenariats pour fournir de la formation, de la maintenance et du support pour la flotte militaire et commerciale d’Arabie Saoudite. Sur la base des schémas de ciblage observés, APT33 a probablement utilisé ces domaines dans des courriers électroniques de ‘spear phishing’ pour cibler les organisations victimes.
Des indices supplémentaires renforcent le lien avec l’Iran
A cet égard, le ciblage par APT33 d’organisations dans les secteurs de l’aéronautique et de l’énergie est étroitement aligné avec des intérêts gouvernementaux. Cela implique que le vecteur de menace est très probablement sponsorisé par le gouvernement d’un état nation.
En ce qui concerne le timing des opérations – qui coïncide avec les horaires de travail en Iran – et l’utilisation de multiples outils de piratage et noms de serveurs iraniens, renforce l’estimation de la que les opérations d’APT33 ont probablement été menées pour le compte du gouvernement iranien.
John Hultquist, Director of Cyber Espionage Analysis chez FireEye a ajouté que « l’Iran a démontré à de nombreuses reprises sa volonté de renforcer ses capacités de cyber espionnage au niveau mondial.
Son usage agressif de ce vecteur, combiné avec une géopolitique en constante évolution, met en évidence le danger que représente APT33 pour des gouvernements et des intérêts commerciaux au Moyen Orient et dans le monde entier.
L’identification de ce groupe et de ses capacités de destruction représente une opportunité pour des organisations de détecter et de traiter les menaces qui lui sont associées de façon proactive. »
ZATAZ vous révélait, début septembre comment le trésor américain a banni plusieurs entreprises Iraniennes accusées de piratage ou de complicités de piratage informatique. J’ai pu constater que la communauté iranienne underground (pirates, hackers, …) est très active.