Des pirates informatiques iraniens ont réussi à pénétrer les réseaux d'environ 32 entreprises israéliennes, a annoncé lundi la société de sécurité de l'information ESET. Les pirates ont également pénétré une entreprise au Brésil et une autre aux Émirats arabes unis. Les noms des sociétés n'ont pas été divulgués, mais selon ce que l'on sait, elles opèrent dans divers domaines, notamment l'assurance, la médecine, l'industrie, les communications, l'informatique, la technologie, la vente au détail, l'automobile, le droit, les services financiers, l'architecture et le génie civil.
Le groupe à l'origine de la campagne a été identifié Ballistic Bobcat, connu sous d'autres noms, notamment Charming Kitten, TA543 ou PHOSPHORUS ainsi que APT35/42. L'objectif principal du groupe est le cyberespionnage, mais il opère également à d'autres niveaux comme le vol de données ou les attaques contre des rançons. De plus, selon les conclusions, le groupe n'est pas le seul à avoir réussi à accéder aux réseaux des victimes. Au moins 16 entreprises ont été touchées par des attaquants secondaires, même si ESET n'a pas précisé lesquels.
Il est conseillé aux utilisateurs d'installer des correctifs de sécurité à jour sur chaque appareil exposé à Internet et d'être attentifs aux nouvelles applications qui apparaissent de manière inattendue dans leur organisation", a déclaré Adam Berger, un chercheur d'ESET qui a découvert la porte dérobée connue sous le nom de Sponsor et a analysé la dernière campagne de cyberattaque du groupe. La porte dérobée du sponsor utilise des fichiers de configuration stockés sur le disque dur d'un ordinateur. Les fichiers sont exécutés secrètement sous forme de fichiers batch et créés pour paraître légitimes, afin d'éviter d'être détectés par les analyses de sécurité.
Le groupe Ballistic Bobcat a commencé à exploiter la porte dérobée en septembre 2021. Pendant l’épidémie de coronavirus, le groupe Ballistic Bobcat a attaqué des organisations liées à la pandémie, notamment l’Organisation mondiale de la santé (OMS) et des chercheurs en médecine. On soupçonne que ces attaques visaient à transmettre des informations aux autorités iraniennes sur la lutte contre la maladie dans le monde et sur les vaccins développés à l'époque.
Les chercheurs ont également constaté que les pirates ont profité d'une faiblesse bien connue des serveurs de messagerie Exchange de Microsoft dans au moins 23 des 34 cas d'attaque. Une mise à jour logicielle pour cette vulnérabilité a déjà été publiée par Microsoft. Il est donc probable que les victimes n'aient pas mis à jour leurs systèmes en temps réel, ce qui a permis aux pirates d'y pénétrer.
Les piratages ne constituaient pas une campagne ciblée, selon les chercheurs. Les pirates n'ont pas cherché de manière proactive à s'introduire dans des entreprises spécifiques, mais ont simplement analysé à l'aide d'outils de piratage et, lorsqu'ils ont trouvé des moyens, ils les ont simplement utilisés pour pénétrer dans les réseaux des entreprises.
Gabriel Attal
L'espace des commentaires est ouvert aux inscrits.
Connectez-vous ou créez un compte pour pouvoir commenter cet article.