Un groupe de hackers iraniens a essayé au cours des deux dernières années d’espionner les physiciens israéliens et des scientifiques nucléaires, ainsi que d’autres cadres supérieurs dans des établissements universitaires, la défense et le monde des affaires, dans le cadre d’une vaste campagne de cyberattaques mondiales par le groupe iranien. Cela a été révélé hier par le fournisseur de logiciel de cyber défense israélien ‘Check Point’. Suite à cette révélation, les autorités de Grande-Bretagne, d’Allemagne et de Hollande ont pu neutraliser la plate-forme utilisée par le groupe iranien dans ses entreprises de piratage.
Check Point a réussi à entrer dans le serveur du groupe spécialisé dans le phishing un principe de hackage qui tente d’obtenir des renseignements personnels en entrant dans les data base des utilisateurs. Il a ensuite dressé une liste de plus de 1600 cibles que les pirates avaient suivis.
Check point est parvenu à découvrir l’identité d’un ingénieur en informatique iranien qui a été impliqué dans les actions du groupe. Divers analystes de la sécurité sont convaincus que le groupe travaillait pour l’Iran.(NDLR Les hacker étaient membres des Gardiens de la Révolution iraniens)
Selon le rapport, publié par l’agence Reuters, le groupe, qui avait été découvert précédemment, a également ciblé des militants des droits de l’homme dans le monde arabe, les diplomates dans les pays tels que l’Arabie Saoudite – où ils opéraient contre les membres de la famille royale – Afghanistan, les Emirats arabes unis , l’Irak et même certains organismes commerciaux au Venezuela, un pays avec des liens étroits avec l’Iran. Dans certains cas, les pirates ont tenté d’atteindre leurs objectifs par le biais membres de la famille.
Selon l’analyse effectuée par Check Point du serveur stockant les sites de phishing créés par les pirates, il se trouve que la plupart des cyberattaques ont été dirigés contre l’Arabie saoudite (18%, avec 17%ciblaient les Etats-Unis, 16% étaient des cibles iraniennes y compris les pirates eux-mêmes, 8% ciblaient la Hollande et 5% Israël, 4% la Géorgie et enfin la Turquie 3%
« Nous ne disposons pas des informations complètes sur le degré de leur succès, mais en plus d’un an de cyberattaques nous savons qu’ils ont eu un taux de réussite de 26% dans le phishing », a dit Shahar Tal, à la tête d’une équipe chargée de Threat Intelligence chez Check Point.
‘Rocket Kitten’
Le groupe de hackers, surnommé Kitten Rocket, a été découvert à plusieurs reprises par les entreprises de sécurité tels que Trend Micro et par des experts de la sécurité israélienne tels que Gadi Evron entre autres. Ainsi, en Juin dernier, la société israélienne de conseil ClearSky et les services de renseignement ont constaté que ce groupe suivait des universitaires israéliens spécialisés en matière de défense ou dans la recherche sur l’Iran. Une de leur cible était le Dr Tamar Eilam Gindin, chercheur au Centre de Ezri pour l’Iran et le Golfe Persique à l’Université de Haïfa. Elle a dit à Haaretz que les tentatives de piratage contre elle avaient commencé après qu’elle ait déclaré dans une interview maintenir des liens en ligne avec des citoyens iraniens.
ClearSky a écrit que la méthode préférée utilisée par le groupe iranien semble être le « spear-phishing», à savoir un effort ciblé pour extraire des mots de passe et autres informations appartenant aux cadres supérieurs dans les organisations cibles, que ce soit par e-mails ou par d’autres méthodes telles que Appels téléphoniques. Le groupe a utilisé des logiciels différents pour leurs cyberattaques, tel que le logiciel off-the-shelf comme Metasploit, une plate-forme utilisée par les analystes de sécurité pour effectuer des tests de cambriolages.
Ils ont utilisé ces logiciels à partir de serveurs situés en Allemagne, en Hollande, en Grande-Bretagne, aux Etats-Unis et en Arabie saoudite. Les analystes estiment que les fournisseurs d’accès Internet dont les serveurs ont été utilisées n’étaient aucunement liés aux pirates.
Check Point a commencé à enquêter sur les Rocket Kitten après qu’un de ses clients ait été piraté. La compagnie a expliqué que lors de son enquête ils ont identifié un serveur d’attaque, ce qui leur a permet de compiler une liste de cibles du groupe.
Les enquêteurs ont été surpris de constater que les pirates gardaient le logiciel qu’ils utilisaient pour gérer leurs serveurs ouverts. Les enquêteurs ont réussi à utiliser facilement ces serveurs après avoir obtenu la un mode non sécurisé, permettant aux enquêteurs de les découvrir. Les mots de passe de leurs victimes avaient même pas été chiffrés.
« Epermission des fournisseurs. Les mots de passe des opérateurs du réseau ont également été conservés dans n termes de sécurisation ces pirates étaient très amateurs », explique Tal. « La cryptographie était faible, voire inexistante, permettant aisément la découverte de leurs mots de passe originaux . » Le logiciel qu’ils utilisaient comme support sur leur propre ne lui a pas impressionner non plus. « Les outils et les techniques qu’ils utilisaient étaient très limitées par rapport à leurs homologues de l’Ouest. Mais il ont travaillé. … On dirait qu’ils ont pris un groupe de jeunes pirates et leur ont dit: «Venez travailler ici au lieu de craquer les sites israéliens. »
Le Gang qui s’est auto virussé
Ils donnent de nombreux exemples dans leur rapport. Un incident drôle est survenu quand les pirates ont réussi à infecter un de leurs propres ordinateurs avec un virus qu’ils avaient développé. Un essai préliminaire a été un tel succès qu’ils ne pouvaient plus retirer leurs propres fichiers de virus. Cela a permis aux chercheurs de Check Point de suivre l’un des pirates, avec l’aide de son propre logiciel de keylogging du pirate (qui suit toutes les opérations d’un ordinateur). Avec cela, ils ont constaté que le pirate, Yasser Balagî, avait comme mot de passe de sa boite mail AOL 123.456.756.
Le curriculum vitae de Balagî a montré qu’il est diplômé d’un programme de sciences informatiques à l’Université islamique Azad, servant alors de la tête d’une équipe de développement logiciel, suivie par un mandat à la tête de « la sécurité et (juridique et éthique) de piratage. » Il a développé un système pour mener des expéditions de phishing, ordonnées par une «organisation de cyberguerre. » « Nous pouvons continuer, mais la leçon clé de ce chapitre est que si vous ne voulez pas que les gens sachent que vous avez créé des logiciels malveillants pour le gouvernement, ne le mettez pas dans votre curriculum vitae « , dit le rapport du Check Point.
Malgré cette critique professionnelle des talents des hackers, les auteurs du rapport ne sous estiment pas leurs actions. «Leur Cyber espionnage est plus limité que celui des organisations avec des budgets monstrueux qui leur permettent d’embaucher des milliers de cyber guerriers, employer des groupes de super-ordinateurs employés à briser les codes ou à se livrer à la recherche avancée pour infecter le firmware de votre disque dur, » écrivent-ils. « Dans ce cas, comme dans d’autres, on peut supposer qu‘un organisme officiel a embauché des pirates locaux et les a débauchés pour des opérations d’espionnage commis au nom de l’Etat. Comme dans de nombreux cas avec des équipes inexpérimentées, leur formation limitée était évidente dans leur manque de sensibilisation à la sécurité, laissant de nombreuses preuves qui ont conduit à la source des attaques et les véritables identités des pirates. « Cependant, même leur détection ne les a pas fait renoncer, ils se sont juste momentanément arrêtés pour sur une courte période au cours de l’été, juste après leur détection.
(NDLR « « Nous avons découvert les rouages d’une campagne de cyber espionnage, » a déclaré Shahar Tal, chef du groupe de recherche israélo-américain pour la firme de sécurité Check Point Software, à Reuters dans une interview.Nous croyons que ces attaques sont très similaires à ceux précédemment attribuées à la Garde révolutionnaire iranienne Corps, » a déclaré Tal des liens entre les deux groupes. D’autres chercheurs de cyber sécurité ont arrêté à court de lier les deux groupes.Les Gardiens de la révolution iraniens ont ciblé 1.600 cibles de grande envergure, y compris des scientifiques nucléaires israéliens, des responsables de l’OTAN et des dissidents iraniens, selon des chercheurs de cybersécurité.)
 |
 |
