« Opération Cleaver », c'est le nom donné à la campagne menée pendant deux ans par des pirates iraniens, lesquels, selon des chercheurs de l'entreprise de sécurité Cylance, ont compromis les systèmes de plus de 50 entreprises et institutions dans le monde.

Pendant les deux dernières années, une équipe de hackers iraniens a compromis les ordinateurs et les réseaux d'au moins 50 entreprises et institutions de 16 pays. Les cibles : des compagnies aériennes, des entreprises du secteur de la défense, des universités, des installations militaires, des hôpitaux, des aéroports, des entreprises de télécommunications, des organismes gouvernementaux, et des entreprises du gaz et l'énergie. Cette série d'attaques a été baptisée « Opération Cleaver », car une même séquence de code a été trouvée dans les divers outils malveillants utilisés par le groupe. Selon les chercheurs, les opérations sont majoritairement menées depuis Téhéran. « Notre enquête nous a permis de découvrir plus de 50 cibles réparties dans le monde entier », ont révélé les chercheurs de Cylance dans le rapport détaillé qu'ils ont publié hier. « Dix des entreprises visées ont leur siège social aux États-Unis. Ce sont essentiellement une grande compagnie aérienne, une université médicale, une entreprise d'énergie spécialisée dans la production de gaz naturel, un constructeur automobile, un grand entrepreneur de la défense, et une installation militaire majeure ».

D'autres victimes ont été identifiées au Canada, en Chine, en Angleterre, en France, en Allemagne, en Inde, en Israël, au Koweït, au Mexique, au Pakistan, au Qatar, en Arabie Saoudite, en Corée du Sud, en Turquie et dans les Émirats Arabes Unis. Les assaillants ont utilisé des outils d'attaque et des exploits accessibles au public, ainsi que des programmes malveillants spécialisés qu'ils ont créés eux-mêmes. Cylance pense que l'équipe de hackers est composée d'au moins 20 pirates et développeurs, probablement recrutés dans les universités du pays pour défendre les intérêts iraniens. « L'infrastructure utilisée pour cette campagne est trop importante pour être attribuée à seul individu ou à un petit groupe », ont déclaré les chercheurs de Cylance. « Nous pensons que la cyberattaque a été parrainée par l'Iran ».

Des domaines Active Directory et des commutateurs Cisco Edge totalement compromis

Le niveau d'intrusion et le type de données volées sont très variables selon les organisations. « Dans le cas des universités, les pirates ont ciblé des données de recherche, des informations sur les étudiants, leur logement, ainsi que des informations d'identification, des images et des passeports. Pour ce qui est des infrastructures critiques des entreprises, les hackers iraniens ont volé des informations sensibles qui pourraient leur permettre, à eux ou à des groupes associés, de saboter les systèmes de contrôle industriel et les systèmes d'acquisition et de contrôle des données dans les environnements SCADA », ont encore écrit les chercheurs.

Actuellement, aucun élément ne permet de dire que le groupe a essayé de saboter des systèmes critiques, mais Cylance pense que c'est peut-être l'objectif final de la campagne, en représailles aux attaques Stuxnet, Duqu et Flame menées contre l'Iran. Les États-Unis et Israël sont soupçonnés d'avoir créé Stuxnet. Ce vers, considéré comme la première cyber arme du monde, a été utilisé pour saboter les installations d'enrichissement d'uranium iraniennes et ralentir son programme nucléaire. « Les éléments les plus inquiétants de cette campagne concernent le ciblage et l'intrusion des pirates dans des réseaux et des systèmes d'entreprises de transport. En particulier, nous avons trouvé des preuves dans les systèmes de compagnies aériennes et d'aéroports situés en Corée du Sud, en Arabie saoudite et au Pakistan », ont déclaré les chercheurs de Cylance. « Leur accès était apparemment permanent : des domaines Active Directory ont été totalement compromis, de même que des commutateurs Cisco Edge, des routeurs et des infrastructures de réseau interne ». Selon les chercheurs, « les pirates avaient un accès total aux portes d'embarquement de l'aéroport et à leurs systèmes de contrôle de sécurité, et ils pouvaient intervenir sur les codes d'accès aux portes ». Par ailleurs, toujours selon les chercheurs, « les hackers iraniens ont eu accès à des identifiants PayPal et Go Daddy, qu'ils ont utilisé pour faire des achats frauduleux et ils ont pu accéder facilement aux domaines de la victime. Nous avons constaté un nombre très inquiétant d'accès à des données très privées de ces compagnies et dans les aéroports dans lesquels elles opèrent ».

Le Cheval de Troie TinyZBot utilisé par les pirates

L'équipe de pirates iraniens a été surnommée Tarh Andishan - ce qui signifie « penseurs » ou « innovateurs » - parce que certaines de ses activités ont permis de remonter à des blocs d'adresses IP enregistrés à Téhéran au nom d'une entité appelée Tarh Andishan. « Les blocs d'adresses sont très proches des blocs utilisés par des compagnies pétrolières et gazières appartenant à l'État », ont ajouté les chercheurs. « Certains employés actuels et anciens de ces entreprises sont des experts en systèmes de contrôle industriel ». Les pirates de Tarh Andishan ont utilisé des attaques courantes - injection de SQL, spear phishing ou watering hole - pour gagner l'accès initial à un ou plusieurs ordinateurs de l'entreprise ou de l'institution visée. Ils ont ensuite utilisé des exploits d'escalade de privilège et d'autres outils pour compromettre d'autres systèmes et s'introduire un peu plus dans les réseaux. Mais les chercheurs n'ont trouvé aucun exploit zero-day qui aurait tiré profit de vulnérabilités jusqu'alors inconnues.

Le groupe a essentiellement utilisé un Cheval de Troie appelé TinyZBot, créé par ses développeurs. Cependant, Cylance a publié une liste de plus de 150 outils, échantillons et indicateurs d'intrusions en rapport avec cette campagne. Celle-ci doit permettre aux spécialistes de la sécurité de décortiquer l'Opération Cleaver et de détecter les éventuels signes d'attaques actuelles et futures. « Le rapport Opération Cleaver montre que l'Iran est un adversaire de premier plan du monde occidental et qu'il est prêt et très motivé pour mener de sérieuses attaques contre des infrastructures critiques globales, pas seulement des infrastructures localisées aux États-Unis, mais celles de plus d'une douzaine de pays », a déclaré dans un blog Stuart McClure, CEO et président de Cylance. « L'Iran ne cherche pas à voler des cartes de crédit ou des design de processeurs. En s'emparant du contrôle de ces systèmes, il renforce son emprise sur des dizaines de réseaux. Ses pirates pourraient les paralyser et affecter la vie de milliards d'individus ».