L’acteur iranien présumé UNC1549 cible les secteurs de l’aérospatiale et de la défense d’Israël et du Moyen-Orient

Activité d’espionnage suspectée d’être liée à l’Iran. Elle viseraut les secteurs de l’aérospatiale, de l’aviation et de la défense dans les pays du Moyen-Orient, notamment Israël et les Émirats Arabes Unis, et potentiellement la Turquie, l’Inde et l’Albanie.

La société américaine Mandiant attribue cette activité, avec un degré de confiance moyen, à l’acteur iranien UNC1549, auquel appartient Tortoiseshell – un hacker qui a été publiquement lié au Corps des gardiens de la révolution islamique d’Iran (IRGC). Tortoiseshell a déjà tenté de compromettre des chaînes d’approvisionnement en ciblant des entreprises de défense et des fournisseurs de technologies de l’information.

Le lien potentiel entre cette activité et le CGRI iranien est important, étant donné l’accent mis sur les entités liées à la défense et les tensions récentes avec l’Iran, à la lumière de la guerre entre Israël et le Hamas. Il a été notamment observé une campagne sur le thème de la guerre Israël-Hamas qui se fait passer pour le mouvement « Bring Them Home Now« , qui appelle au retour des Israéliens kidnappés et retenus en otage par le Hamas.

Cette activité présumée de l’UNC1549 est active depuis au moins juin 2022, et est toujours en cours en février 2024. Bien que de nature régionale et principalement axée sur le Moyen-Orient, elle vise des entités opérant dans le monde entier.

Cette campagne déployait de multiples techniques d’évasion pour masquer son activité, en particulier l’utilisation intensive de l’infrastructure cloud Microsoft Azure, ainsi que des schémas d’ingénierie sociale pour diffuser deux portes dérobées uniques : MINIBIKE et MINIBUS.

Attribution

Il est estimé avec un degré de confiance modéré que cette activité a des liens avec UNC1549, un groupe d’espionnage basé en Iran, qui recoupe des activités connues publiquement sous les noms de Tortoiseshell et Smoke Sandstorm/BOHRIUM.

Un faux site web de recrutement (1stemployer[.]com) a été observé en train d’héberger une charge utile MINIBUS en novembre 2023. Le modèle utilisé pour le faux site web de recrutement avait été utilisé précédemment dans un autre faux site web de recrutement : careers-finder[.]com, qui a été utilisé par UNC1549.

Dans cette campagne, la porte dérobée MINIBUS était hébergée sur un faux site d’emploi (1stemployer[.]com) utilisant exactement le même contenu écrit que careers-finder[.]com utilisé par UNC1549 au début de l’année 2022, par exemple : « Après avoir examiné votre parcours professionnel et votre formation, nous vous présentons aux entreprises employeurs qui recherchent les compétences et l’expertise indiquées.

En outre, comme dans les activités précédentes de l’UNC1549, cette campagne s’est appuyée sur des applications .NET pour diffuser leurs logiciels malveillants – cette fois-ci, les attaquants ont utilisé une fausse application affiliée au Hamas pour diffuser la porte dérobée MINIBUS.

Selon les rapports publics, Tortoiseshell, qui est lié à l’UNC1549, est potentiellement lié au Corps des gardiens de la révolution iranienne (IRGC).

Mandiant a observé un lien supplémentaire entre cette vague d’attaques et l’Iran, sous la forme d’un test d’outil potentiel mené à la mi-2022, qui avait des liens étroits avec l’Iran.

En juin 2022, une première instance de MINIBIKE a été soumise à un dépôt public de logiciels malveillants en provenance d’Iran (MD5 : adef679c6aa6860aa89b775dceb6958b).

Cette instance MINIBIKE communiquait avec un VPS géolocalisé en Iran (adresse IP : 158.255.74[.]25), contrairement aux autres instances MINIBIKE qui utilisent des sous-domaines Azure comme C2.

En outre, la version MINIBIKE déployée dans le cadre de cette opération comportait des caractéristiques uniques, comme l’utilisation de l’application Microsoft SharePoint légitime comme leurre. Ces caractéristiques ont été modifiées dans les versions ultérieures, ce qui donne à penser que cette activité était un premier test d’outil plutôt qu’un implant pleinement opérationnel.

En outre, le ciblage d’entités du Moyen-Orient affiliées aux secteurs de l’aérospatiale et de la défense est cohérent avec d’autres groupes d’activités liés à l’Iran, dont certains sont également affiliés au Corps des gardiens de la révolution islamique (CGRI).

Perspectives et implications

Les recherches de Mandiant indiquent que cette campagne est toujours active en février 2024 et qu’elle a ciblé des entités liées à la défense, à l’aérospatiale et à l’aviation au Moyen-Orient, en particulier en Israël et dans les Émirats arabes unis, et potentiellement en Turquie, en Inde et en Albanie également.

Les renseignements recueillis sur ces entités sont pertinents pour les intérêts stratégiques iraniens et peuvent être exploités à des fins d’espionnage et d’opérations cinétiques. Les liens potentiels entre l’UNC1549 et le Corps des gardiens de la révolution islamique (CGRI) iranien confirment cette hypothèse.

Les méthodes d’évasion déployées dans le cadre de cette campagne, à savoir les leurres personnalisés sur le thème de l’emploi et l’utilisation d’une infrastructure en nuage pour le C2, peuvent compliquer la tâche des défenseurs des réseaux qui cherchent à prévenir, détecter et atténuer cette activité. Les renseignements et les indicateurs fournis dans le présent rapport peuvent soutenir et renforcer ces efforts.