Rançongiciel : trois hackers iraniens accusés de chantages numériques

Le ministère de la Justice américaine a annoncé l’inculpation de trois ressortissants iraniens pour des cyberattaques de type rançongiciel.

Trois hackers, accusés d’être des individus liés aux gardiens de la révolution islamique d’Iran (CGRI) sont accusés par le gouvernement américain d’avoir lancé des cyber attaques à l’encontre de ressortissant et entreprises américaines. Parmi les cibles, des services publics d’électricité, des administrations locales et des civils basés aux États-Unis ou encore la chaîne de télévision privée, HBO.

Les pirates auraient pour finaliser leur malveillance exploité des ransomwares, tout en copiant les informations trouvées dans leurs infiltrations. A noter qu’ils ont aussi impacté des iraniens.

Maintenant, rien ne prouve qu’ils étaient sous les ordres du CGRI. Il n’est pas rare de croiser des « fonctionnaires » ou employés privés de gouvernement, comme ce fût le cas avec Netwalker, un autre rançonneur, arrêté au Québec (20 ans de prison en octobre 2022).

Cependant, Les gardiens de la révolution islamique d’Iran (CGRI) ont déjà été accusés de faire travailler des pirates informatiques.

Game of Thrones

L’un des cas connu, le piratage de la chaîne HBO lors du mois d’août 2017. A l’époque, un des pirates, Behzad Mesri (Aka Skote Vahshat), avait réclamé de l’argent à la chaîne de télévision privée (du groupe Time Warner) pour ne pas diffuser des épisodes indédits de séries TV, dont « Game of Thrones« . Ce même pirate était connu pour avoir piraté les systèmes informatiques de l’armée iranienne !

Ces mêmes pirates avaient réussi à infiltrer les comptes mails d’environ 8 000 professeurs officiant dans des centaines d’écoles américaines et étrangères (144 universités américaines et 176 universités étrangères). Les pirates utilisaient une méthode toute simple, mais très efficace : Bitlocker. Les hackers malveillants exploitaient l’outil de chiffrement installé dans les Windows 10 pro pour bloquer les dossiers ! Une utilisation d’un outil natif du système d’exploitation qui rend la détection d’une cyber attaque beaucoup plus difficile.

Ils étaient dans le collimateur du Département de la Justice US depuis mars 2018. Parallèlement aux accusations de 2018, le département du Trésor US avait désigné neuf Iraniens et l’entreprise pour laquelle ils travaillaient, l’Institut Mabna, pour des sanctions judiciaires. Loin d’être des génies de l’informatique (ce qui n’existe pas, NDRL), les pirates récupéraient des adresses électroniques [comme je vous le montre ici], puis, simplement, les pirates essayaient des mots de passe communs sur ces comptes.

Il est peu probable que l’une des personnes nommées dans l’acte d’accusation voie jamais l’intérieur d’une prison ou d’une salle d’audience américaine.

Pendant ce temps

Le 15 juillet 2022, quatre groupes de pirates iraniens ont mené une attaque contre les services en ligne et les sites Web du gouvernement albanais. But annoncé, les mettant hors service. Selon Microsoft, l’attaque s’est déroulée en quatre étapes, chacune étant dirigée par les groupes :

DEV-0861 – Fournit un accès principal aux systèmes et aux données. Les experts pensent que le groupe pourrait être lié à EUROPIUM, un gang de hackers travaillant pour le ministère iranien de l’Information et de la Sécurité nationale (MOIS). Le rapport de Microsoft indique que les attaquants peuvent avoir obtenu un accès initial aux systèmes du gouvernement albanais en utilisant CVE-2019-0604, une vulnérabilité dans SharePoint qui a été corrigée en mars 2019. Les cybercriminels ont exécuté un code malveillant qui injecte des shells Web, qui sont ensuite utilisés pour télécharger des fichiers, effectuer une reconnaissance, exécuter des commandes arbitraires et désactiver les programmes antivirus. Selon les experts, les pirates ont obtenu un premier accès aux systèmes de la victime en mai 2021 et, entre octobre 2021 et janvier 2022, ils ont volé les e-mails des fonctionnaires du réseau piraté.

DEV-0166 – a volé les données nécessaires ;

DEV-0133 – a examiné l’infrastructure informatique de la victime ;

DEV-0842 – a déployé un ransomware. À ce stade, tout s’est déroulé de la même manière que dans d’autres cyberattaques attribuées à des groupes iraniens : d’abord, un ransomware a été déployé, puis un viper utilisant une clé de licence et le pilote EldoS RawDisk, qui avait déjà été vu dans une autre cyberattaque de 2019. Le viper utilisé par DEV-0842 a été signé avec un certificat numérique invalide de Kuwait Telecommunications Company KSC.

Après avoir analysé les messages, l’heure et le choix des cibles, les experts ont conclu que tous les groupes agissaient sous les auspices du gouvernement iranien, peu importe comment il niait ce qui s’était passé. Microsoft a noté qu’une telle attaque pourrait être une représailles à une cyberattaque orchestrée par Israël et l’Organisation des moudjahidines du peuple iranien, un groupe cherchant à renverser le gouvernement iranien.

Les pirates vampirisent l’Albanie

L’Agence nationale albanaise pour la société de l’information (AKSHI, NAIS) a été contrainte de fermer les services en ligne et les sites Web du gouvernement à la suite de cette cyberattaque : les sites Web du Parlement et du Cabinet du Premier ministre, le site Web e-Albania, etc.

L’Albanie a rompu ses relations diplomatiques avec l’Iran.

Plusieurs questions se posent : pourquoi utiliser autant de personnes (groupes) alors que ce type d’action peut se faire plus discrètement, et par une seule personne ? L’Iran a voulu gonfler ses muscles et afficher des cyber soldats ? Dans cette situation, « bruler » 4 unités et autant de méthodes retire des capacités offensives pour le futur !