Sciences & Technologies Israéliennes

Des pirates informatiques iraniens ont réussi à pénétrer dans les réseaux d'environ 32 entreprises israéliennes, a annoncé lundi la société de sécurité de l'information ESET. Les pirates ont également pénétré une entreprise au Brésil et une autre aux Émirats arabes unis. Les noms des sociétés n'ont pas été divulgués, mais selon ce que l'on sait, elles opèrent dans divers domaines, notamment l'assurance, la médecine, l'industrie, les communications, l'informatique, la technologie, la vente au détail, l'automobile, le droit, les services financiers, l'architecture et le génie civil.

Le groupe à l'origine de la campagne a été identifié Ballistic Bobcat, connu sous d'autres noms, notamment Charming Kitten, TA543 ou PHOSPHORUS ainsi que APT35/42. L'objectif principal du groupe est le cyberespionnage, mais il opère également à d'autres niveaux comme le vol de données ou les attaques contre des rançons. De plus, selon les conclusions, le groupe n'est pas le seul à avoir réussi à accéder aux réseaux des victimes. Au moins 16 entreprises ont été touchées par des attaquants secondaires, même si ESET n'a pas précisé lesquels.

« Il est conseillé aux utilisateurs d'installer des correctifs de sécurité à jour sur chaque appareil exposé à Internet et d'être attentifs aux nouvelles applications qui apparaissent de manière inattendue dans leur organisation », a déclaré Adam Berger, un chercheur d'ESET qui a découvert la porte dérobée connue sous le nom de Sponsor et a analysé la dernière campagne de cyberattaque du groupe. La porte dérobée sponsor utilise des fichiers de configuration stockés sur le disque dur d'un ordinateur. Les fichiers sont exécutés secrètement sous forme de fichiers batch et créés pour paraître légitimes, afin d'éviter d'être détectés par les analyses de sécurité.

Le groupe Ballistic Bobcat a commencé à exploiter la porte dérobée en septembre 2021. Pendant l’épidémie de coronavirus, le groupe Ballistic Bobcat a attaqué des organisations liées à la pandémie, notamment l’Organisation mondiale de la santé (OMS) et des chercheurs en médecine. On soupçonne que ces attaques visaient à transmettre des informations aux autorités iraniennes sur la lutte contre la maladie dans le monde et sur les vaccins développés à l'époque.

Les chercheurs ont également constaté que les pirates ont profité d'une faiblesse bien connue des serveurs de messagerie Exchange de Microsoft dans au moins 23 des 34 cas d'attaque. Une mise à jour logicielle pour cette vulnérabilité a déjà été publiée par Microsoft. Il est donc probable que les victimes n'aient pas mis à jour leurs systèmes en temps réel, ce qui a permis aux pirates d'y pénétrer.

Les piratages ne constituaient pas une campagne ciblée, selon les chercheurs. Les pirates n'ont pas cherché de manière proactive à s'introduire dans des entreprises spécifiques, mais ont simplement analysé à l'aide d'outils de piratage et, lorsqu'ils ont trouvé des moyens, ils les ont simplement utilisés pour pénétrer dans les réseaux des entreprises.

Les groupes de hackers iraniens opèrent régulièrement contre des cibles en Israël. À tout moment, de nombreuses tentatives sont menées pour identifier les points faibles des réseaux industriels, gouvernementaux et militaires et les exploiter. Des groupes d’attaque russes, nord-coréens, syriens et turcs opèrent également régulièrement en Israël, même si leur objectif est généralement plus criminel que politico-stratégique. Cependant, il ne fait aucun doute qu’un groupe qui parvient à pénétrer avec succès dans les ordinateurs en Israël peut également tirer parti de cette opération au niveau politique.

Depuis plusieurs années, Israël et l’Iran mènent des cyberattaques systématiques et discrètes. L'activité des Iraniens a été identifiée dans plusieurs cas comme dans la fermeture de l'hôpital Hillel Yaffe ou l'intrusion dans les réseaux d'entreprises de défense, de municipalités ou encore d'infrastructures nationales et d'entreprises gouvernementales. Dans certains cas, il s'agit de recueillir des renseignements, dans d'autres cas, l'objectif est de gêner et d'arrêter une activité ou d'installer des chevaux de Troie pour une utilisation future. À ce stade, il n’est pas clair si la campagne identifiée a atteint ses objectifs ou si elle continue à affecter activement d’autres victimes.