FireEye révèle les activités du groupe iranien APT33

3
89

FireEye, le spécialiste de la sécurité des réseaux basée sur l’intelligence, annonce les détails d’un groupe de “hackers” iranien aux capacités potentiellement destructrices, qu’il a baptisé APT33. Ce groupe a déjà ciblé les secteurs de l’énergie et de l’aéronautique.

Tribune FireEye – L’analyse de FireEye révèle qu’APT33 mène des opérations de cyber-espionnage depuis au moins 2013, et qu’il travaille probablement pour le gouvernement iranien. Cette information est le résultat d’investigations menées récemment par les consultants de FireEye® Mandiant® incident response, combinées avec des analyses de FireEye iSIGHT® Threat Intelligence analysis, qui ont dévoilé les activités, les capacités et les motivations potentielles de ce groupe de “hackers”.

Cibles

APT33 a ciblé des organisations – dans de multiples secteurs d’activités – basées aux Etats Unis, en Arabie Saoudite et en Corée du Sud. Le groupe a montré un intérêt particulier pour des organisations dans le secteur aéronautique actives à la fois dans les domaines civil et militaire, ainsi que pour des organisations dans le secteur de l’énergie ayant des liens avec la production pétrochimique.

De la mi 2016 aux premiers mois de 2017, APT33 a compromis une organisation du secteur aéronautique basée aux Etats Unis et un conglomérat basé en Arabie Saoudite opérant dans l’aéronautique. Au cours de la même période, le groupe a également ciblé une société sud coréenne dans le domaine de la pétrochimie et du raffinage pétrolier. En mai 2017, APT33 a semblé cibler une organisation en Arabie Saoudite et un conglomérat sud coréen en utilisant un fichier malicieux qui incitait ses victimes à répondre à des offres d’emploi dans une société pétrochimique en Arabie Saoudite.

Les analystes de FireEye pensent que le ciblage de l’organisation basée en Arabie Saoudite peut avoir été une tentative de récolte d’informations sur des entreprises rivales dans la région, tandis que le ciblage de sociétés sud coréennes pourrait être due aux partenariats noués entre la Corée du Sud et l’industrie pétrochimique iranienne, ainsi qu’aux relations qu’entretient la Corée du Sud avec des sociétés pétrochimiques d’Arabie Saoudite. APT33 peut avoir ciblé ces organisations en raison du désir de l’Iran d’accroître sa propre production pétrochimique et d’améliorer sa compétitivité dans la région.

Spear Phishing

Le groupe a envoyé des emails de “spear phishing” à des employés travaillant dans le secteur aéronautique. Ces emails intégraient des leurres liés à des offres d’emploi, et contenaient des liens vers des fichiers HTML malicieux. Les fichiers contenaient des descriptions de postes et des liens vers des offres d’emploi légitimes sur de grands sites de recherche d’emploi correspondant au profil des individus ciblés.

Dans plusieurs cas, les opérateurs d’APT33 ont laissé les valeurs par défaut du module de “phishing” qu’il utilise connu sous le nom de ALFASHELL. Ils ont cherché à corriger cette erreur, car dans les quelques minutes suivant l’envoi des emails avec les valeurs par défaut, le groupe a envoyé des emails aux mêmes destinataires, mais sans les valeurs par défaut.

Usurpation de noms de domaine

APT33 a enregistré de multiples domaines en se faisant passer pour des sociétés aéronautiques d’Arabie Saoudite et des organisations occidentales ayant des partenariats pour fournir de la formation, de la maintenance et du support pour la flotte militaire et commerciale d’Arabie Saoudite. Sur la base des schémas de ciblage observés, APT33 a probablement utilisé ces domaines dans des emails de “spear phishing” pour cibler les organisations victimes.   

Des indices supplémentaires renforcent le lien avec l’Iran

Le ciblage par APT33 d’organisations dans les secteurs de l’aéronautique et de l’énergie est étroitement aligné avec des intérêts gouvernementaux, ce qui implique que le vecteur de menace est très probablement sponsorisé par le gouvernement d’un état nation. Ceci couplé avec le timing des opérations – qui coïncide avec les horaires de travail en Iran – et l’utilisation de multiples outils de piratage et noms de serveurs iraniens, renforce l’estimation de la part de FireEye que les opérations d’APT33 ont probablement été menées pour le compte du gouvernement iranien.

John Hultquist, Director of Cyber Espionage Analysis chez FireEye a ajouté :

“L’Iran a démontré à de nombreuses reprises sa volonté de renforcer ses capacités de cyber-espionnage au niveau mondial. Son usage agressif de ce vecteur, combiné avec une géopolitique en constante évolution, met en évidence le danger que représente APT33 pour des gouvernements et des intérêts commerciaux au Moyen Orient et dans le monde entier. L’identification de ce groupe et de ses capacités de destruction représente une opportunité pour des organisations de détecter et de traiter les menaces qui lui sont associées de façon proactive.”

3 Commentaires

Les commentaires sont fermés.