Les acteurs de la menace iranienne mènent une opération de cyberespionnage très ciblée contre des sociétés mondiales d’aérospatiale et de télécommunications, volant des informations sensibles à des cibles autour d’Israël et du Moyen-Orient, ainsi qu’aux États-Unis, en Russie et en Europe, selon un rapport publié mercredi par la cybersécurité israélienne. société Cybereason.

Cybereason a identifié l’acteur étatique jusque-là inconnu, surnommé MalKamak, exécutant une nouvelle forme sophistiquée de malware jusqu’alors inconnue, lors d’un appel de réponse aux incidents pour l’un de ses clients, a déclaré Assaf Dahan, chef du groupe de recherche sur les cybermenaces chez Cybereason.

 

La campagne est en cours depuis au moins 2018 et a probablement réussi à collecter de grandes quantités de données à partir de cibles soigneusement choisies, a déclaré Dahan.

 

“L’enquête a commencé quand une des entreprises attaquées a appelé l’équipe de recherche de réponse aux incidents de Cybereason”, a déclaré Dahan. « Au cours de l’incident et après avoir installé notre technologie sur les ordinateurs de l’organisation, nous avons identifié des dommages sophistiqués et nouveaux qu’on n’avait encore pas constaté ou documenté. Un travail d’enquête approfondi a révélé qu’il ne s’agissait que d’une partie de toute une campagne de renseignement iranienne menée en secret et sous le radar au cours des trois dernières années.

 

« D’après les quelques traces laissées par les assaillants, il est clair qu’ils ont agi avec prudence et ont soigneusement sélectionné leurs victimes. Il s’agit d’un attaquant iranien sophistiqué qui a agi de manière professionnelle selon une stratégie réfléchie et calculée. Le risque potentiel inhérent à une telle campagne d’assaut est grand et significatif pour l’État d’Israël et peut constituer une menace réelle.

 

“C’était une opération très sophistiquée qui a toutes les caractéristiques d’une attaque parrainée par l’État“, a déclaré Dahan. « Alors que d’autres groupes iraniens sont impliqués dans des actes plus destructeurs, celui-ci se concentre sur la collecte d’informations. Le fait qu’ils aient pu rester sous le radar pendant trois ans montre leur niveau de sophistication. Nous estimons qu’ils ont été capables d’exfiltrer de grandes quantités de données au fil des ans, des gigaoctets, voire des téraoctets. Nous ne savons pas combien il y a eu de victimes avant 2018. »

 

Les organisations touchées et les responsables de la sécurité concernés ont été informés de l’attaque, mais l’étendue des dommages réels causés n’a pas encore été clarifiée, a déclaré Cybereason.

La campagne s’appuie sur un cheval de Troie d’accès à distance (RAT) très sophistiqué et encore inconnu, baptisé ShellClient, qui échappe aux outils antivirus et autres appareils de sécurité et abuse du service de cloud public Dropbox pour le commandement et le contrôle (C2), selon le rapport. Les auteurs de ShellClient ont investi beaucoup d’efforts pour le rendre furtif et lui permettre d’échapper à la détection des antivirus et autres outils de sécurité, en tirant parti de plusieurs techniques d’obscurcissement et en implémentant récemment un client Dropbox pour la commande et le contrôle, ce qui le rend très difficile à détecter.

 

« Le malware a beaucoup évolué au fil des ans », a noté Dahan. « En 2018, le code était très simple, mais il est devenu très sophistiqué. Au début de cette année, le groupe a abandonné son ancienne infrastructure de serveurs et l’a remplacée par l’hébergement de fichiers Dropbox, un moyen simple de le cacher à la vue de tous. Ces dernières années, nous constatons que de plus en plus d’acteurs de la cybermenace abusent de différents services cloud comme Google Drive, Dropbox et Github, car ils fournissent le camouflage parfait. Même si une fois que nous savons ce que nous recherchons, il est plus facile de découvrir d’autres choses.

À l’aide de ShellClient RAT, l’acteur de la menace a également déployé des outils d’attaque supplémentaires pour effectuer diverses activités d’espionnage sur les réseaux ciblés, notamment une reconnaissance supplémentaire, des mouvements latéraux dans l’environnement et la collecte et l’exfiltration de données sensibles.

 

La menace, qui est toujours active, a été principalement observée dans la région du Moyen-Orient, mais a également été observée ciblant des organisations aux États-Unis, en Russie et en Europe, en mettant l’accent sur les industries de l’aérospatiale et des télécommunications.

L’enquête révèle des liens possibles avec plusieurs acteurs menaçants parrainés par l’État iranien, dont Chafer APT (APT39) et Agrius APT, selon le rapport. Cela fait suite à la publication en août du rapport DeadRinger par Cybereason qui a également découvert plusieurs campagnes APT chinoises ciblant les fournisseurs de télécommunications.