Rançongiciel : trois hackers iraniens accusés de chantages numériques

Le ministère de la Justice américaine a annoncé l’inculpation de trois ressortissants iraniens pour des cyberattaques de type rançongiciel.

Trois hackers, accusés d’être des individus liés aux gardiens de la révolution islamique d’Iran (CGRI) sont accusés par le gouvernement américain d’avoir lancé des cyber attaques à l’encontre de ressortissant et entreprises américaines. Parmi les cibles, des services publics d’électricité, des administrations locales et des civils basés aux États-Unis ou encore la chaîne de télévision privée, HBO.

Les pirates auraient pour finaliser leur malveillance exploité des ransomwares, tout en copiant les informations trouvées dans leurs infiltrations. A noter qu’ils ont aussi impacté des iraniens.

Maintenant, rien ne prouve qu’ils étaient sous les ordres du CGRI. Il n’est pas rare de croiser des « fonctionnaires » ou employés privés de gouvernement, comme ce fût le cas avec Netwalker, un autre rançonneur, arrêté au Québec (20 ans de prison en octobre 2022).

Cependant, Les gardiens de la révolution islamique d’Iran (CGRI) ont déjà été accusés de faire travailler des pirates informatiques.

Game of Thrones

L’un des cas connu, le piratage de la chaîne HBO lors du mois d’août 2017. A l’époque, un des pirates, Behzad Mesri (Aka Skote Vahshat), avait réclamé de l’argent à la chaîne de télévision privée (du groupe Time Warner) pour ne pas diffuser des épisodes indédits de séries TV, dont « Game of Thrones« . Ce même pirate était connu pour avoir piraté les systèmes informatiques de l’armée iranienne !

Ces mêmes pirates avaient réussi à infiltrer les comptes mails d’environ 8 000 professeurs officiant dans des centaines d’écoles américaines et étrangères (144 universités américaines et 176 universités étrangères). Les pirates utilisaient une méthode toute simple, mais très efficace : Bitlocker. Les hackers malveillants exploitaient l’outil de chiffrement installé dans les Windows 10 pro pour bloquer les dossiers ! Une utilisation d’un outil natif du système d’exploitation qui rend la détection d’une cyber attaque beaucoup plus difficile.

Ils étaient dans le collimateur du Département de la Justice US depuis mars 2018. Parallèlement aux accusations de 2018, le département du Trésor US avait désigné neuf Iraniens et l’entreprise pour laquelle ils travaillaient, l’Institut Mabna, pour des sanctions judiciaires. Loin d’être des génies de l’informatique (ce qui n’existe pas, NDRL), les pirates récupéraient des adresses électroniques [comme je vous le montre ici], puis, simplement, les pirates essayaient des mots de passe communs sur ces comptes.

Il est peu probable que l’une des personnes nommées dans l’acte d’accusation voie jamais l’intérieur d’une prison ou d’une salle d’audience américaine.

Pendant ce temps

Le 15 juillet 2022, quatre groupes de pirates iraniens ont mené une attaque contre les services en ligne et les sites Web du gouvernement albanais. But annoncé, les mettant hors service. Selon Microsoft, l’attaque s’est déroulée en quatre étapes, chacune étant dirigée par les groupes :

DEV-0861 – Fournit un accès principal aux systèmes et aux données. Les experts pensent que le groupe pourrait être lié à EUROPIUM, un gang de hackers travaillant pour le ministère iranien de l’Information et de la Sécurité nationale (MOIS). Le rapport de Microsoft indique que les attaquants peuvent avoir obtenu un accès initial aux systèmes du gouvernement albanais en utilisant CVE-2019-0604, une vulnérabilité dans SharePoint qui a été corrigée en mars 2019. Les cybercriminels ont exécuté un code malveillant qui injecte des shells Web, qui sont ensuite utilisés pour télécharger des fichiers, effectuer une reconnaissance, exécuter des commandes arbitraires et désactiver les programmes antivirus. Selon les experts, les pirates ont obtenu un premier accès aux systèmes de la victime en mai 2021 et, entre octobre 2021 et janvier 2022, ils ont volé les e-mails des fonctionnaires du réseau piraté.

DEV-0166 – a volé les données nécessaires ;

DEV-0133 – a examiné l’infrastructure informatique de la victime ;

DEV-0842 – a déployé un ransomware. À ce stade, tout s’est déroulé de la même manière que dans d’autres cyberattaques attribuées à des groupes iraniens : d’abord, un ransomware a été déployé, puis un viper utilisant une clé de licence et le pilote EldoS RawDisk, qui avait déjà été vu dans une autre cyberattaque de 2019. Le viper utilisé par DEV-0842 a été signé avec un certificat numérique invalide de Kuwait Telecommunications Company KSC.

Après avoir analysé les messages, l’heure et le choix des cibles, les experts ont conclu que tous les groupes agissaient sous les auspices du gouvernement iranien, peu importe comment il niait ce qui s’était passé. Microsoft a noté qu’une telle attaque pourrait être une représailles à une cyberattaque orchestrée par Israël et l’Organisation des moudjahidines du peuple iranien, un groupe cherchant à renverser le gouvernement iranien.

Les pirates vampirisent l’Albanie

L’Agence nationale albanaise pour la société de l’information (AKSHI, NAIS) a été contrainte de fermer les services en ligne et les sites Web du gouvernement à la suite de cette cyberattaque : les sites Web du Parlement et du Cabinet du Premier ministre, le site Web e-Albania, etc.

L’Albanie a rompu ses relations diplomatiques avec l’Iran.

Plusieurs questions se posent : pourquoi utiliser autant de personnes (groupes) alors que ce type d’action peut se faire plus discrètement, et par une seule personne ? L’Iran a voulu gonfler ses muscles et afficher des cyber soldats ? Dans cette situation, « bruler » 4 unités et autant de méthodes retire des capacités offensives pour le futur !

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.