Des pirates iraniens piratent des organisations d’infrastructures critiques pour collecter des informations d’identification et des données réseau qui peuvent être vendues sur des forums cybercriminels afin de permettre des cyberattaques d’autres acteurs de la menace.
Les agences gouvernementales aux États-Unis, au Canada et en Australie estiment que les pirates iraniens agissent en tant que courtiers d’accès initiaux et utilisent des techniques de force brute pour accéder aux organisations des secteurs de la santé et de la santé publique (HPH), du gouvernement, des technologies de l’information, de l’ingénierie et de l’énergie.
Courtier d’accès iranien
Un avis publié par l’Agence américaine de cyberdéfense (CISA) décrit les dernières activités et méthodes utilisées par les pirates iraniens pour compromettre les réseaux et collecter des données qui fourniraient des points d’accès supplémentaires.
L’alerte est coécrite par le Federal Bureau of Investigation (FBI), la CISA, la National Security Agency( NSA), le Centre de la sécurité des télécommunications Canada (CST), la Police fédérale australienne (AFP) et le Centre australien de cybersécurité de la Direction des transmissions australiennes (ACSC de l’ASD).
“Depuis octobre 2023, les acteurs iraniens ont utilisé la force brute, comme la pulvérisation de mots de passe, et l’authentification multifacteur (MFA) « push bombing » pour compromettre les comptes d’utilisateurs et obtenir l’accès aux organisations » – avis conjoint sur la cybersécurité
Après l’étape de reconnaissance, les acteurs de la menace visent à obtenir un accès persistant au réseau cible, souvent en utilisant des techniques de force brute.
L’activité de suivi comprend la collecte de plus d’informations d’identification, l’escalade des privilèges et l’apprentissage des systèmes et du réseau violés, ce qui leur permet de se déplacer latéralement et d’identifier d’autres points d’accès et d’exploitation.
Les agences gouvernementales n’ont pas découvert toutes les méthodes utilisées dans de telles attaques, mais ont déterminé que dans certains cas, les pirates utilisent la pulvérisation de mots de passe pour accéder à des comptes d’utilisateurs et de groupes valides.
Une autre méthode observée était la fatigue MFA (push bombing) où les cybercriminels bombardent le téléphone portable d’une cible de demandes d’accès pour submerger l’utilisateur jusqu’à ce qu’il approuve la tentative de connexion, soit par accident, soit simplement pour arrêter les notifications.
Selon l’avis, les pirates iraniens ont également utilisé certaines méthodes qui restent à déterminer pour obtenir un accès initial aux environnements Microsoft 365, Azure et Citrix.
Une fois qu’ils ont accès à un compte, les auteurs de menaces tentent généralement d’enregistrer leurs appareils auprès du système MFA de l’organisation.
Dans deux compromis confirmés, les acteurs ont exploité l’enregistrement ouvert d’un utilisateur compromis pour MFA pour enregistrer le propre appareil de l’acteur pour accéder à l’environnement.
Dans une autre compromission confirmée, les acteurs ont utilisé un outil de réinitialisation de mot de passe en libre-service (SSPR) associé à un service de fédération Active Directory public (ADFS) pour réinitialiser les comptes avec des mots de passe expirés, puis ont enregistré MFA via Okta pour les comptes compromis sans MFA déjà activé.
Le déplacement sur le réseau a été effectué via le protocole RDP (Remote Desktop Protocol), déployant parfois les binaires nécessaires à l’aide de PowerShell ouvert via Microsoft Word.
On ne sait pas comment les pirates iraniens collectent des informations d’identification supplémentaires, mais on pense que cette étape est effectuée à l’aide d’outils open source pour voler des tickets Kerberos ou pour récupérer des comptes Active Directory.
Pour élever les privilèges sur le système, les agences gouvernementales ont déclaré que les pirates avaient tenté de se faire passer pour le contrôleur de domaine “probablement en exploitant la vulnérabilité d’escalade de privilèges Netlogon (également connue sous le nom de ”Zérologon”) de Microsoft (CVE-2020-1472).”
Dans les attaques analysées, l’auteur de la menace s’est appuyé sur les outils disponibles sur le système (vivant de la terre) pour recueillir des détails sur les contrôleurs de domaine, les domaines de confiance, les listes d’administrateurs, les administrateurs d’entreprise, les ordinateurs du réseau, leurs descriptions et les systèmes d’exploitation.
Dans un avis distinct en août, le gouvernement américain a mis en garde contre un acteur menaçant basé en Iran, soupçonné d’être parrainé par l’État, impliqué dans l’obtention d’un accès initial aux réseaux appartenant à diverses organisations aux États-Unis.
L’auteur de la menace a utilisé l’alias Br0k3r et le nom d’utilisateur « xplfinder » sur les canaux de communication. Ils ont fourni « des privilèges de contrôle de domaine complets, ainsi que des informations d’identification d’administrateur de domaine, à de nombreux réseaux dans le monde entier », indique le rapport.
Br0k3r, connu dans le secteur privé sous les noms de Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM et Lemon Sandstorm, a collaboré avec des affiliés de ransomware pour recevoir un pourcentage des paiements de rançon d’organisations compromises (par exemple, écoles, administrations municipales, institutions financières et établissements de santé).
Détection des tentatives de force brute
L’avis conjoint recommande aux organisations d’examiner les journaux d’authentification pour détecter les échecs de connexion sur des comptes valides et d’étendre la recherche à plusieurs comptes.
Si un acteur malveillant exploite des informations d’identification compromises sur des infrastructures virtuelles, les organisations doivent rechercher les « connexions impossibles » avec des noms d’utilisateur, des agents utilisateurs ou des adresses IP modifiés qui ne correspondent pas à l’emplacement géographique typique de l’utilisateur.
Un autre signe d’une tentative d’intrusion potentielle est l’utilisation de la même adresse IP pour plusieurs comptes ou l’utilisation d’adresses IP provenant de différents emplacements avec une fréquence qui ne permettrait pas à l’utilisateur de parcourir la distance.
De plus, les agences recommandent:
- recherche d’enregistrements MFA avec MFA dans des paramètres régionaux inattendus ou à partir d’appareils inconnus
- recherche de processus et d’arguments de ligne de commande d’exécution de programme pouvant indiquer un vidage d’informations d’identification, en particulier des tentatives d’accès ou de copie des NTD.fichier dit d’un contrôleur de domaine
- vérification de l’utilisation suspecte des comptes privilégiés après la réinitialisation des mots de passe ou l’application de mesures d’atténuation des comptes utilisateur
- enquêter sur une activité inhabituelle dans des comptes généralement dormants
- recherche de chaînes d’agent utilisateur inhabituelles, telles que des chaînes qui ne sont généralement pas associées à une activité utilisateur normale, ce qui peut indiquer une activité de bot
L’avis conjoint fournit également un ensemble d’atténuations qui amélioreraient la posture de sécurité d’une organisation par rapport aux tactiques, techniques et procédures (TTP) observées avec l’activité des pirates iraniens.