Afin d'aider les cibles à s'informer et à se défendre contre les activités malveillantes de Emennet Pasargad, une entreprise de cybersécurité et de renseignement basée en Iran, au service des agences gouvernementales iraniennes, le FBI (Federal Bureau of Investigation) a publié un avertissement décrivant ses tactiques, techniques et protocoles (TTP). Dans la notification du FBI au secteur privé, l'agence confirme que deux ressortissants iraniens employés par Emennet ont été inculpés de cyber-intrusion et de fraude, d'intimidation des électeurs, de menaces inter-États et de complot par le Département américain de la Justice. De plus, le service de contrôle des actifs étrangers (Office of Foreign Assets Control) du département du Trésor avance qu'Emennet, ainsi que les deux ressortissants iraniens accusés, ont tenté d'influencer les élections présidentielles américaines de 2020.

La notification précise qu'Emennet Pasargad a mené une campagne d'ingérence dans l'élection, en obtenant des informations confidentielles sur les électeurs à partir des sites Web électoraux des États américains, en envoyant des courriels d'intimidation aux électeurs, en élaborant et en distribuant des vidéos de désinformation sur les vulnérabilités du vote, et en piratant les réseaux informatiques de sociétés de médias. Pendant la campagne, les pirates se sont fait passer pour des membres des Proud Boys, une organisation américaine d'extrême droite, néofasciste et exclusivement masculine. « Cette campagne d'ingérence porte atteinte au caractère sacré de la démocratie américaine car ces acteurs se sont intentionnellement fait passer pour des extrémistes racistes afin de menacer et intimider les gens », a expliqué Liz Miller, analyste chez Constellation Research. « Dans ce cas de figure, les cyberattaques viennent en soutien d’une bataille bien plus dangereuse », a-t-elle ajouté. Ce n’est pas la première fois qu’Emennet Pasargad est liée à des opérations de cyber-espionnage et de piratage, et qu’elle agit sous couvert d’un faux étendard, comme en 2018, avec la « Yemen Cyber Army ».

Des tactiques de cyber-espionnage et de piratage décrites par le FBI

Selon l'avis, une tactique connue d'Emennet consiste à effectuer une reconnaissance des cibles potentielles, puis à identifier tout point d'entrée, y compris les logiciels ou systèmes vulnérables. Pour ce faire, les acteurs effectue d'abord une recherche aléatoire sur le Web, du type « meilleur site d'information américain », puis recherchent les vulnérabilités des réseaux des sites Web concernés. La notification pour le secteur privé - ou Private Industry Notification PIN - du FBI, publiée la semaine dernière, dresse la liste des CVE (Common Vulnerabilities and Exposures) les plus courantes et les plus récentes qu'Emennet a été amené à exploiter, à savoir :

- CVE-2019-0232 : Cette vulnérabilité par injection de ligne de commande spécifique à Windows ou command-line argument dans le servlet CGI d'Apache Tomcat (versions 9.0.0.M1 à 9.0.17, 8.5.0 à 8.5.39 et 7.0.0 à 7.0.93) permet une exécution de code à distance RCE (Remote Code Execution).

- CVE 2019-9546 : Cette vulnérabilité permet une élévation de privilèges via le service RabbitMQ sur la plateforme SolarWinds Orion avant 2018.

- CVE-2018-1000001 : Cette vulnérabilité de confusion dans l'utilisation de getcwd() par realpath() dans glibc 2.26 et antérieures pourrait permettre une exécution de code potentielle.

- CVE-2018-7600 : Cette vulnérabilité permet une exécution de code arbitraire par des attaquants en raison d'une configuration de module par défaut de Drupal (dans 7x,8.3x,8.4x et 8.5x avant 7.58, 8.3.9, 8.4.6 et 8.5.1 respectivement).

- CVE-2017-5963 : Cette vulnérabilité permet l'exécution de code HTML et de script arbitraire dans caddy avant 7.2.10 en raison d'une vulnérabilité provenant d'un filtrage insuffisant des données fournies par l'utilisateur.

Chacune de ces vulnérabilités a été corrigée dans des mises à jour ultérieures par les fournisseurs. « Même s’il ne s’agit pas d'une menace plus importante que les autres, le fait qu'Emennet exploite des systèmes et des applications « assez communs » comme Wordpress, Drupal, Apache Tomcat, est exactement la raison pour laquelle l'industrie privée devrait s'en préoccuper », a déclaré Mme Miller. « On néglige facilement ce que l’on trouve habituel », a-t-elle ajouté. Toujours selon Liz Miller, l'utilisation par Emennet d'outils open source comme des pages Web exécutant du code PHP ou des pages comportant des bases de données MySQL accessibles de l'extérieur offre au secteur privé un bon aperçu des techniques d'attaque et des réseaux et systèmes vulnérables.

Pour brouiller les pistes, Emennet utiliserait des services VPN comme TorGuard, CyberGhost, NordVPN et Private Internet Access. Le groupe a en outre montré son intérêt pour des services de SMS qu’elle utilise pour diffuser sa propagande en masse. Le FBI a ajouté qu'Emennet constituait une vaste menace pour la cybersécurité, avec des activités d'exploitation possibles dans plusieurs secteurs, notamment les médias, le transport maritime, les voyages (hôtels et compagnies aériennes), l'énergie et les télécommunications.

Des conseils sur les pares-feux, les correctifs, et autres

Le FBI recommande d'activer et de mettre à jour les logiciels anti-malware et antivirus, d'adopter des services efficaces de détection des menaces au niveau du réseau, des appareils, des systèmes d'exploitation, des applications et des services de messagerie électronique, et d'envisager des services d'hébergement et de gestion de contenu (Content management system, CMS) réputés pour la configuration des applications externes, en plus de l'identification et de la correction des CVE mentionnés. L'utilisation d'un pare-feu d'application Web (Web application firewall, WAF) et l'application de restrictions CMS, comme la désactivation de l'édition de fichiers à distance, l'exécution de fichiers dans des répertoires spécifiques et la limitation des tentatives de connexion, sont également conseillées par le FBI comme précautions de base.

« Les rapports publiés par les agences fédérales, notamment cet avis sur les vecteurs d'attaque, les comportements des mauvais acteurs et les modèles TTP, offrent un autre niveau de renseignements et d'informations critiques que toute personne impliquée dans la sécurité devrait consulter et inclure dans sa collecte d'informations », a encore ajouté Liz Miller de Constellation Research. « Outre les recommandations les plus évidentes et les plus fondamentales figurant dans l'avis, les RSSI doivent prendre note de tous les CVE critiques identifiés dans le document », recommande-t-elle aussi.