Devis de remise multi-licences
Sécurité informatique Attention ! Les cyberattaques iraniennes menacent les...

Attention ! Les cyberattaques iraniennes menacent les infrastructures critiques dans le cadre d'une campagne mondiale en cours

Par Mura en Sécurité informatique
Se traduisent par :
Français

Dans un monde de cybermenaces en constante évolution, l’une des tendances les plus alarmantes est la multiplication des cyberattaques commanditées par des États ciblant des infrastructures critiques . De récents avis conjoints d’agences de cybersécurité et de renseignement des États-Unis, d’Australie et du Canada révèlent une campagne en cours depuis un an menée par des cyberacteurs iraniens visant des secteurs clés comme la santé, l’énergie, le gouvernement et les technologies de l’information.

Les méthodes derrière les cyberattaques iraniennes

Depuis octobre 2023, les cybercriminels iraniens ont eu recours à des attaques par force brute et à la diffusion de mots de passe pour infiltrer des organisations . Ces tactiques consistent à deviner systématiquement les mots de passe et à submerger les systèmes de connexion pour obtenir un accès non autorisé aux comptes des utilisateurs. Les secteurs comme la santé, l'ingénierie et les services gouvernementaux sont des cibles de choix, compte tenu de leur sensibilité et de leur importance.

L’une des nouvelles tactiques utilisées par ces attaquants est le push bombing de l’authentification multifacteur (MFA), également connue sous le nom de fatigue MFA. En inondant les utilisateurs de demandes MFA répétées, les attaquants espèrent ennuyer ou dérouter les victimes afin qu’elles approuvent involontairement l’accès. Ray Carney, expert en cybersécurité chez Tenable, suggère d’utiliser une MFA résistante au phishing ou d’employer la correspondance numérique pour un processus d’authentification plus sûr.

L’objectif principal de ces attaques est de voler des identifiants et des informations détaillées sur le réseau, qui sont ensuite vendus sur des forums clandestins. Cela crée des opportunités pour d’autres cybercriminels d’exploiter les systèmes compromis pour de nouvelles attaques, s’inscrivant dans le contexte plus large de la collaboration entre les groupes parrainés par l’État et la cybercriminalité organisée.

Techniques d'attaque avancées

Après l'accès initial, les attaquants iraniens effectuent généralement une reconnaissance approfondie des systèmes de la cible. Ils utilisent des outils « living-off-the-land » (LotL), qui exploitent la propre infrastructure de l'organisation pour rester indétectables. Les exploits d'escalade de privilèges, tels que la célèbre vulnérabilité Zerologon (CVE-2020-1472), aident les attaquants à pénétrer plus profondément dans les systèmes.

Dans de nombreux cas, les attaquants utilisent des protocoles de bureau à distance (RDP) et des outils comme Cobalt Strike pour établir des connexions de commande et de contrôle (C2). Ils enregistrent parfois leurs propres appareils auprès des systèmes MFA, ce qui leur permet de maintenir un accès permanent sur de longues périodes sans éveiller les soupçons.

Cibler Active Directory et au-delà

Les cybercriminels iraniens s’efforcent de plus en plus de compromettre Active Directory, l’épine dorsale de nombreux environnements informatiques d’entreprise. Active Directory joue un rôle crucial dans la gestion de l’authentification et des autorisations des utilisateurs sur les réseaux. La compromission de ce système permet aux attaquants d’élever leurs privilèges, leur donnant accès à des informations extrêmement sensibles et au contrôle des systèmes critiques.

Les évolutions récentes du paysage mondial des menaces indiquent également une tendance à la collaboration entre les groupes de piratage informatiques des États-nations et les organisations cybercriminelles. Le rapport 2024 de Microsoft sur la défense numérique souligne que les attaquants parrainés par l’État iranien ne mènent pas seulement des opérations pour des raisons géopolitiques, mais sont également motivés par le gain financier. En externalisant une partie de leurs opérations à des cybercriminels, ils étendent leur portée tout en restant discrets.

Ce que les organisations peuvent faire

Pour atténuer ces risques, les organisations des secteurs ciblés doivent prendre des mesures proactives :

  • Mettez en œuvre une MFA résistante au phishing dans la mesure du possible. Si ce n'est pas possible, utilisez la correspondance numérique comme option d'authentification secondaire.
  • Auditez et corrigez régulièrement les vulnérabilités, en particulier dans Active Directory et d’autres systèmes critiques.
  • Formez les employés à reconnaître les signes de fatigue liée à l’authentification multifacteur et encouragez-les à signaler les tentatives de connexion suspectes.
  • Surveillez le trafic réseau pour détecter toute activité inhabituelle, en particulier les connexions sortantes vers une infrastructure C2 connue.
  • Collaborez avec les agences gouvernementales et les pairs de l’industrie pour rester informé des dernières menaces et des meilleures pratiques en matière de défense.

La route à suivre

Les cyberattaques deviennent de plus en plus sophistiquées et étroitement liées aux objectifs géopolitiques mondiaux. Les entreprises doivent donc faire preuve de vigilance. La campagne menée tout au long de l’année par les cyberacteurs iraniens nous rappelle brutalement que même les systèmes de sécurité les plus robustes peuvent être compromis sans défenses adéquates.

Pour garder une longueur d’avance sur ces menaces, il faut s’adapter en permanence, collaborer et s’engager à respecter les meilleures pratiques en matière de cybersécurité. Bien qu’aucun système ne soit à l’abri, les organisations informées et préparées ont de bien meilleures chances de résister à la vague croissante de cyberattaques.

Chargement...