L’acteur iranien présumé UNC1549 cible les secteurs de l’aérospatiale et de la défense d’Israël et du Moyen-Orient

Activité d’espionnage suspectée d’être liée à l’Iran. Elle viseraut les secteurs de l’aérospatiale, de l’aviation et de la défense dans les pays du Moyen-Orient, notamment Israël et les Émirats Arabes Unis, et potentiellement la Turquie, l’Inde et l’Albanie.

ACTUS ZATAZ DIRECTEMENT SUR VOTRE TÉLÉPHONE VIA WHATSAPP >CLIQUEZ ICI<

La société américaine Mandiant attribue cette activité, avec un degré de confiance moyen, à l’acteur iranien UNC1549, auquel appartient Tortoiseshell – un hacker qui a été publiquement lié au Corps des gardiens de la révolution islamique d’Iran (IRGC). Tortoiseshell a déjà tenté de compromettre des chaînes d’approvisionnement en ciblant des entreprises de défense et des fournisseurs de technologies de l’information.

Le lien potentiel entre cette activité et le CGRI iranien est important, étant donné l’accent mis sur les entités liées à la défense et les tensions récentes avec l’Iran, à la lumière de la guerre entre Israël et le Hamas. Il a été notamment observé une campagne sur le thème de la guerre Israël-Hamas qui se fait passer pour le mouvement « Bring Them Home Now« , qui appelle au retour des Israéliens kidnappés et retenus en otage par le Hamas.

Cette activité présumée de l’UNC1549 est active depuis au moins juin 2022, et est toujours en cours en février 2024. Bien que de nature régionale et principalement axée sur le Moyen-Orient, elle vise des entités opérant dans le monde entier.

Cette campagne déployait de multiples techniques d’évasion pour masquer son activité, en particulier l’utilisation intensive de l’infrastructure cloud Microsoft Azure, ainsi que des schémas d’ingénierie sociale pour diffuser deux portes dérobées uniques : MINIBIKE et MINIBUS.

ACTUS ZATAZ DIRECTEMENT SUR VOTRE TÉLÉPHONE VIA WHATSAPP >CLIQUEZ ICI<

Attribution

Il est estimé avec un degré de confiance modéré que cette activité a des liens avec UNC1549, un groupe d’espionnage basé en Iran, qui recoupe des activités connues publiquement sous les noms de Tortoiseshell et Smoke Sandstorm/BOHRIUM.

Un faux site web de recrutement (1stemployer[.]com) a été observé en train d’héberger une charge utile MINIBUS en novembre 2023. Le modèle utilisé pour le faux site web de recrutement avait été utilisé précédemment dans un autre faux site web de recrutement : careers-finder[.]com, qui a été utilisé par UNC1549.

Dans cette campagne, la porte dérobée MINIBUS était hébergée sur un faux site d’emploi (1stemployer[.]com) utilisant exactement le même contenu écrit que careers-finder[.]com utilisé par UNC1549 au début de l’année 2022, par exemple : « Après avoir examiné votre parcours professionnel et votre formation, nous vous présentons aux entreprises employeurs qui recherchent les compétences et l’expertise indiquées.

En outre, comme dans les activités précédentes de l’UNC1549, cette campagne s’est appuyée sur des applications .NET pour diffuser leurs logiciels malveillants – cette fois-ci, les attaquants ont utilisé une fausse application affiliée au Hamas pour diffuser la porte dérobée MINIBUS.

Selon les rapports publics, Tortoiseshell, qui est lié à l’UNC1549, est potentiellement lié au Corps des gardiens de la révolution iranienne (IRGC).

Mandiant a observé un lien supplémentaire entre cette vague d’attaques et l’Iran, sous la forme d’un test d’outil potentiel mené à la mi-2022, qui avait des liens étroits avec l’Iran.

En juin 2022, une première instance de MINIBIKE a été soumise à un dépôt public de logiciels malveillants en provenance d’Iran (MD5 : adef679c6aa6860aa89b775dceb6958b).

Cette instance MINIBIKE communiquait avec un VPS géolocalisé en Iran (adresse IP : 158.255.74[.]25), contrairement aux autres instances MINIBIKE qui utilisent des sous-domaines Azure comme C2.

En outre, la version MINIBIKE déployée dans le cadre de cette opération comportait des caractéristiques uniques, comme l’utilisation de l’application Microsoft SharePoint légitime comme leurre. Ces caractéristiques ont été modifiées dans les versions ultérieures, ce qui donne à penser que cette activité était un premier test d’outil plutôt qu’un implant pleinement opérationnel.

En outre, le ciblage d’entités du Moyen-Orient affiliées aux secteurs de l’aérospatiale et de la défense est cohérent avec d’autres groupes d’activités liés à l’Iran, dont certains sont également affiliés au Corps des gardiens de la révolution islamique (CGRI).

ACTUS ZATAZ DIRECTEMENT SUR VOTRE TÉLÉPHONE VIA WHATSAPP >CLIQUEZ ICI<

Perspectives et implications

Les recherches de Mandiant indiquent que cette campagne est toujours active en février 2024 et qu’elle a ciblé des entités liées à la défense, à l’aérospatiale et à l’aviation au Moyen-Orient, en particulier en Israël et dans les Émirats arabes unis, et potentiellement en Turquie, en Inde et en Albanie également.

Les renseignements recueillis sur ces entités sont pertinents pour les intérêts stratégiques iraniens et peuvent être exploités à des fins d’espionnage et d’opérations cinétiques. Les liens potentiels entre l’UNC1549 et le Corps des gardiens de la révolution islamique (CGRI) iranien confirment cette hypothèse.

Les méthodes d’évasion déployées dans le cadre de cette campagne, à savoir les leurres personnalisés sur le thème de l’emploi et l’utilisation d’une infrastructure en nuage pour le C2, peuvent compliquer la tâche des défenseurs des réseaux qui cherchent à prévenir, détecter et atténuer cette activité. Les renseignements et les indicateurs fournis dans le présent rapport peuvent soutenir et renforcer ces efforts.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.