Cyberattaques iraniennes contre des infrastructures critiques
Depuis octobre 2023, les cybercriminels iraniens ont déclenché une vague d’attaques visant divers secteurs d’infrastructures critiques. Ces attaques se caractérisent par une variété de tactiques sophistiquées visant à compromettre les comptes utilisateurs. Parmi les principales méthodes utilisées figurent les techniques de force brute et de pulvérisation de mots de passe, qui visent à submerger les systèmes de sécurité pour obtenir un accès non autorisé.
Vulnérabilités et ciblage sectoriel de l'AMF
Une méthode particulièrement vexante utilisée par ces cyberattaquants est le bombardement d'invites d'authentification multifacteur (MFA), également appelé fatigue MFA. Cette tactique inonde les utilisateurs de demandes MFA répétées, dans le but ultime de les manipuler pour qu'ils accordent un accès non autorisé. Ces attaques de grande envergure touchent les organisations des secteurs de la santé, du gouvernement, des technologies de l'information, de l'ingénierie et de l'énergie.
Les méthodes d'accès initiales des attaquants impliquent souvent l'utilisation de comptes de messagerie d'utilisateurs et de groupes valides. Ces comptes peuvent être obtenus par des techniques de force brute ou d'autres méthodes non spécifiées, permettant ainsi de pénétrer dans des systèmes tels que Microsoft 365, Azure et Citrix.
Accès persistant et exploitation des outils
Une fois l'accès obtenu, les attaquants prennent des mesures pour modifier les enregistrements MFA, garantissant ainsi un accès permanent aux systèmes compromis. En outre, ils se livrent à la découverte du réseau pour dérober d'autres informations d'identification et des informations sensibles supplémentaires, renforçant ainsi leur emprise sur le réseau ciblé.
Dans ce contexte, le recours aux outils open source et Living-off-the-Land (LotL) est notable. Ces outils facilitent la reconnaissance et la collecte d'informations d'identification, permettant aux attaquants d'exploiter efficacement les vulnérabilités du système, telles que la tristement célèbre CVE-2020-1472 (ZeroLogon), pour augmenter les privilèges et usurper l'identité des contrôleurs de domaine.
Mouvement latéral et vente en réseau
Le protocole RDP (Remote Desktop Protocol) est fréquemment utilisé pour les déplacements latéraux, permettant aux attaquants de naviguer au sein de réseaux compromis. De plus, l'utilisation de services de réseau privé virtuel (VPN) est courante, avec plusieurs adresses IP liées au service VPN Private Internet Access, qui masque leurs activités.
Les conséquences de ces cyberintrusions vont souvent au-delà des violations initiales. Les identifiants et les informations d’accès au réseau compromis sont vendus sur des forums de cybercriminels, ce qui conduit à des activités malveillantes ultérieures, notamment des attaques par ransomware et des violations de données. Cela représente une menace importante pour l’intégrité organisationnelle et la sécurité des données.
Mesures d'atténuation et de défense recommandées
En réponse à ces menaces permanentes, il est fortement conseillé aux organisations de mettre en œuvre diverses mesures de défense. La vérification régulière des journaux d’authentification, la mise en place de politiques de mots de passe solides et l’adoption d’une MFA résistante au phishing peuvent contribuer à la protection contre ces attaques. En outre, la formation des utilisateurs à la cybersécurité et la validation des programmes de sécurité par rapport au cadre MITRE ATT&CK sont des étapes essentielles pour renforcer les protocoles de défense des organisations.