Sur le dernier trimestre 2019, les experts en sécurité de ClearSky ont découvert une campagne d’offensive iranienne qui a été menée au cours des trois dernières années contre des dizaines d’entreprises des secteurs de l’informatique, des télécommunications, de l’énergie, de l’aviation et de la sécurité. Des services gouvernementaux ont également été ciblés. Cette campagne, dénommée Fox Kitten par ClearSky, s’appuie sur une infrastructure complète destinée à assurer la capacité d'accéder aux cibles choisies et de pouvoir les contrôler à long terme. Elle peut aussi être utilisée pour diffuser et activer des malwares destructeurs tels que ZeroCleare et Dustman, associés au groupe de cyberespionnage iranien APT34.  

Dans un billet, ClearSky explique que son analyse a fait apparaître des recoupements entre l’infrastructure de la campagne et l’activité du groupe APT34-OilRig, ainsi qu’une possible connexion avec les groupes APT33-Elfin et APT39-Chafer, tout en précisant que la campagne a été en premier lieu révélée par Dragos qui l’a nommée Parisite et attribuée à APT33. La firme de sécurité dit évaluer avec une probabilité moyenne que les groupes iraniens APT34 et APT33 ont travaillé ensemble depuis 2017 à travers l’infrastructure révélée. 

Capacité à exploiter rapidement des failles zero-day

Parmi les vecteurs d’attaque les plus efficacement utilisés, les groupes ont exploité des failles connues et non corrigées dans des services de VPN (virtual private network) et RDP (remote desktop protocol) pour infiltrer des systèmes et accéder aux informations stockées. D’une façon générale, c’est l’un des moyens les plus fréquemment utilisés par les cyberattaquants tant cybercriminels, recourant à des ransomwares ou autres, que sponsorisés par des Etats. ClearSky évalue que ce vecteur d’attaque servira également de manière importante en 2020 pour exploiter de nouvelles failles dans les VPN et autres systèmes distants, citant à ce sujet les dernières vulnérabilités trouvées dans les outils de Citrix.

Selon les experts en sécurité, les groupes APT ont développé des capacités qui leur permettent d’exploiter en quelques heures ou quelques jours des vulnérabilités zero-day. « Nous évaluons avec une probabilité moyenne haute que les groupes iraniens (APT34 et APT33) partagent des infrastructures d’attaque. De plus, il peut s’agir d’un seul groupe artificiellement signalé ces dernières années comme deux ou trois groupes séparés », expliquent-ils. Après s’être introduits dans les systèmes des entreprises, ces attaquants gardent un pied dans la place et créent d’autres points d’accès vers le réseau principal. Ce qui signifie que lorsqu’une entreprise repère une intrusion - ce qui peut prendre plusieurs mois - et intervient pour sécuriser l’accès, il peut rester au groupe d’attaque d’autres moyens de poursuivre les opérations dans le réseau. Les organisations ciblées fournissent généralement des services à des milliers d’entreprises, d’où l’intérêt de s’y introduire pour atteindre ensuite d’autres cibles au moyen d’attaques de type supply chain consistant à infiltrer un système en passant par celui d’un partenaire ou d’un fournisseur.