Une fuite révèle que le pirate le plus sauvage en Iran a volé 13 000 mots de passe à 98 organisations
<div _ngcontent-c14 = "" innerhtml = "
Plus tôt ce mois-ci, un groupe de piratage productif a été sponsorisé par la fuite iranienne de cyber-arsenal. Un ensemble d’outils et d’informations sur les objectifs appartenant à l’équipage, appelé OilRig, a été lancé en ligne pour tout et tout voir, marquant la principale fuite à ce jour des armes à filet de l’Iran.
À présent, les chercheurs qui ont étudié le cas des données ont affirmé que le groupe ciblait 97 organisations différentes dans 27 pays. Les organisations figurant sur la liste noire de la plate-forme pétrolière comprenaient les autorités, les médias, l'énergie, les transports, la logistique et les fournisseurs de services technologiques. Au fil du temps, Oil Rig a volé 13 000 identifiants volés pour se connecter aux services en ligne de la cible, selon une analyse publiée mardi par la firme américaine de cyber-sécurité, Palo Alto Networks.
Forbes détaillé des premières opérations de OilRig en février 2017, car il a compromis une petite société de logiciels américaine en tant que plate-forme pour attaquer d’autres objectifs. C'était – et c'est toujours – l'une des unités de cyber espionnage les plus productives d'Iran. L'année dernière, le Centre national américain de renseignement et de sécurité sur le contraste appelé OilRig comme une opération soutenue par l'Etat iranien, comme cela avait déjà été revendiqué par les chercheurs en cybersécurité.
Qu'y a-t-il dans la fuite?
La fuite a atterri un mois après qu'un pirate informatique avec l'utilisateur manipule Mr_L4nnist3r ait prétendu avoir accès à une mine de fichiers OilRig. Le compte en question n'a rien révélé, mais début avril, un utilisateur de Twitter avait promis à @ dookhtegan1 de divulguer des données sur les activités de OilRig. Ils ont posté un lien vers un groupe de discussion sur le télégramme d'appel de message, qui a été rapidement téléchargé par les chercheurs.
Parmi les noms d'utilisateur et les mots de passe demandés par OilRig, beaucoup semblaient avoir été volés dans une seule organisation Active Directory. Accéder à l'ensemble de l'annuaire Active Directory d'une entreprise – généralement le référentiel où les entreprises ont la majorité de leurs noms d'utilisateur et mots de passe – constitue le graal sacré de tout espion numérique. Cela permettrait aux pirates d'accéder à de grandes surfaces d'un réseau d'entreprise sans lever de drapeau, car ils semblaient être un utilisateur légitime.
La décharge contenait également une poignée d'outils de piratage de OilRig. Ils en ont inclus un qui permettait aux opérateurs OilRig de détourner des connexions qui passent par le système de nom de domaine (DNS). Le DNS est souvent appelé le répertoire téléphonique sur le Web, car c’est ce qui route l’ordinateur ou le téléphone d’un utilisateur vers le bon serveur Web lorsqu’il saisit une adresse ou clique sur un lien. Si les pirates informatiques peuvent pirater le DNS, ils peuvent diriger une activité Web mesurée vers leurs propres serveurs, où ils peuvent configurer des pages de phishing pour inciter les gens à fournir les informations de connexion. (Ce n’était pas la même attaque DNS que Forbes rapporté la semaine dernière, qui a frappé de nombreuses organisations d'Afrique du Nord et du Moyen-Orient). La fuite comprenait également une série d’outils de porte dérobée utilisés pour obtenir un accès durable aux réseaux cibles.
Les victimes étaient principalement basées dans la région du Moyen-Orient, ont déclaré des chercheurs de Palo Alto. La Jordanie, l’Arabie saoudite et les Émirats arabes unis ont été victimes d’attaques plus nombreuses que d’autres. Il a sonné avec une carte analyse D'un chercheur qui s'appelait MisterCh0c, qui a énuméré un certain nombre de serveurs Web, les sociétés pétrolières avaient attaqué. MisterCh0c a dit Forbes Peu de temps après la fuite, il avait affirmé avoir accès à 40 gigaoctets de fichiers OilRig et vouloir leur vendre 30 000 dollars. Forbes n'a pas pu obtenir Mr_L4nnist3r pour valider la demande.
La Commission des communications et des technologies de l’information d’Arabie Saoudite figurait parmi les nombreux serveurs Web répertoriés par MisterCh0c comme cible. Une autre était la Dubai Statistics Association. Forbes n’avait pas reçu de réponse des deux organisations au moment de la publication. On ignore s'il s'agissait simplement d'objectifs ou s'ils avaient été brisés avec succès.
Chronique d'une fuite
Peu de temps après la fuite, les chercheurs de Chronicle, une start-up de cyber-sécurité fondée par Alphabet, le propriétaire de Google, ont passé en revue les données. Il a trouvé une poignée de cibles situées hors du Moyen-Orient, notamment une société de télécommunication au Zimbabwe, des agences gouvernementales albanaises et une société de jeux sud-coréenne. Aucun des noms des victimes n'a été révélé.
Regardez les fichiers OilRig, a déclaré au directeur de l'intelligence appliquée de Chronicle, Brandon Levene, que les organisations qui ne respectaient pas les règles d'hygiène élémentaires étaient plus enclines à être attaquées par des pirates disposant de temps et de ressources.
"La sophistication est dans les yeux, c'est une expression subjective. Généralement, tous les intrus qui réussissent ont besoin de temps et de concentration", a-t-il ajouté. "Ces outils sont axés sur l'obtention et le maintien de l'accès. De manière générale, la plupart des entreprises éliminent les éléments de base lors de l'établissement de programmes de sécurité: cela permet aux acteurs de la menace de tout type d'être efficaces."
« >
Plus tôt ce mois-ci, un groupe de piratage productif a été sponsorisé par la fuite iranienne de cyber-arsenal. Un ensemble d’outils et d’informations sur les objectifs appartenant à l’équipage, appelé OilRig, a été lancé en ligne pour tout et tout voir, marquant la principale fuite à ce jour des armes à filet de l’Iran.
À présent, les chercheurs qui ont étudié le cas des données ont affirmé que le groupe ciblait 97 organisations différentes dans 27 pays. Les organisations figurant sur la liste noire de la plate-forme pétrolière comprenaient les autorités, les médias, l'énergie, les transports, la logistique et les fournisseurs de services technologiques. Au fil du temps, Oil Rig a volé 13 000 identifiants volés pour se connecter aux services en ligne de la cible, selon une analyse publiée mardi par la firme américaine de cyber-sécurité, Palo Alto Networks.
Forbes a détaillé les premières opérations de OilRig en février 2017, lorsqu'il a compromis une petite société de logiciels américaine en tant que plate-forme pour attaquer d'autres cibles. C'était – et c'est toujours – l'une des unités de cyber espionnage les plus productives d'Iran. L'année dernière, le centre national de contre-espionnage et de sécurité des États-Unis a désigné OilRig comme une opération parrainée par l'État iranien, comme l'avaient déjà affirmé des chercheurs en cyber-sécurité.
Qu'y a-t-il dans la fuite?
La fuite a atterri un mois après qu'un pirate informatique avec l'utilisateur manipule Mr_L4nnist3r ait prétendu avoir accès à une mine de fichiers OilRig. Le compte en question n'a rien révélé, mais début avril, un utilisateur de Twitter avait promis à @ dookhtegan1 de divulguer des données sur les activités de OilRig. Ils ont posté un lien vers un groupe de discussion sur le télégramme d'appel de message, qui a été rapidement téléchargé par les chercheurs.
Parmi les noms d'utilisateur et les mots de passe demandés par OilRig, beaucoup semblaient avoir été volés dans une seule organisation Active Directory. Accéder à l'ensemble de l'annuaire Active Directory d'une entreprise – généralement le référentiel où les entreprises ont la majorité de leurs noms d'utilisateur et mots de passe – constitue le graal sacré de tout espion numérique. Cela permettrait aux pirates d'accéder à de grandes surfaces d'un réseau d'entreprise sans lever de drapeau, car ils semblaient être un utilisateur légitime.
La décharge contenait également une poignée d'outils de piratage de OilRig. Ils en ont inclus un qui permettait aux opérateurs OilRig de détourner des connexions qui passent par le système de nom de domaine (DNS). Le DNS est souvent appelé le répertoire téléphonique sur le Web, car c’est ce qui route l’ordinateur ou le téléphone d’un utilisateur vers le bon serveur Web lorsqu’il saisit une adresse ou clique sur un lien. Si les pirates informatiques peuvent pirater le DNS, ils peuvent diriger une activité Web mesurée vers leurs propres serveurs, où ils peuvent configurer des pages de phishing pour inciter les gens à fournir les informations de connexion. (Ce n’était pas la même attaque DNS que Forbes rapporté la semaine dernière, qui a frappé de nombreuses organisations d'Afrique du Nord et du Moyen-Orient). La fuite comprenait également une série d’outils de porte dérobée utilisés pour obtenir un accès durable aux réseaux cibles.
Les victimes étaient principalement basées dans la région du Moyen-Orient, ont déclaré des chercheurs de Palo Alto. La Jordanie, l’Arabie saoudite et les Émirats arabes unis ont été victimes d’attaques plus nombreuses que d’autres. Il résonnait avec une brève analyse d'un chercheur nommé MisterCh0c, qui avait répertorié plusieurs serveurs Web ciblés par les attaquants de la plate-forme pétrolière. MisterCh0c a dit Forbes Peu de temps après la fuite, il avait affirmé avoir accès à 40 gigaoctets de fichiers OilRig et vouloir leur vendre 30 000 dollars. Forbes n'a pas pu obtenir Mr_L4nnist3r pour valider la demande.
La Commission des communications et des technologies de l’information d’Arabie Saoudite figurait parmi les nombreux serveurs Web répertoriés par MisterCh0c comme cible. Une autre était la Dubai Statistics Association. Forbes n’avait pas reçu de réponse des deux organisations au moment de la publication. On ignore s'il s'agissait simplement d'objectifs ou s'ils avaient été brisés avec succès.
Chronique d'une fuite
Peu de temps après la fuite, les chercheurs de Chronicle, une start-up de cyber-sécurité fondée par Alphabet, le propriétaire de Google, ont passé en revue les données. Il a trouvé une poignée de cibles situées hors du Moyen-Orient, notamment une société de télécommunication au Zimbabwe, des agences gouvernementales albanaises et une société de jeux sud-coréenne. Aucun des noms des victimes n'a été révélé.
Regardez les fichiers OilRig, a déclaré au directeur de l'intelligence appliquée de Chronicle, Brandon Levene, que les organisations qui ne respectaient pas les règles d'hygiène élémentaires étaient plus enclines à être attaquées par des pirates disposant de temps et de ressources.
"La sophistication est dans les yeux, c'est une expression subjective. Généralement, tous les intrus qui réussissent ont besoin de temps et de concentration", a-t-il ajouté. "Ces outils sont axés sur l'obtention et le maintien de l'accès. De manière générale, la plupart des entreprises éliminent les éléments de base lors de l'établissement de programmes de sécurité: cela permet aux acteurs de la menace de tout type d'être efficaces."
Commentaires
Laisser un commentaire