Le Federal Bureau of Investigation (FBI) a mis en garde les partenaires de l’industrie privée contre les tentatives d’un acteur iranien de la menace d’acheter des informations volées concernant des organisations américaines et mondiales.
L’avertissement est venu dans une notification de l’industrie privée (PIN) marquée comme TLP : AMBRE, vu par EZpublish-france.fr plus tôt cette semaine.
Selon le FBI, l’acteur de la menace utilisera probablement les données divulguées (par exemple, les e-mails et les informations sur le réseau) achetées à partir de sources Web claires et sombres pour violer les systèmes des organisations associées.
Le FBI a déclaré que les organisations américaines qui avaient déjà volé et divulgué des données en ligne devraient s’attendre à être la cible d’attaques futures coordonnées par cet acteur menaçant iranien anonyme.
Il est conseillé aux organisations à risque de prendre des mesures d’atténuation pour bloquer les tentatives de piratage en sécurisant les serveurs RDP (Remote Desktop Protocol), les pare-feu d’applications Web et les installations de CMS Kentico ciblées par cet adversaire.
Parmi les tactiques, techniques et procédures (TTP) utilisées dans les attaques de cet acteur de la menace depuis mai 2021, le FBI mentionne l’utilisation d’outils d’auto-exploiteur utilisés pour compromettre les sites WordPress pour déployer des shells Web, violer les serveurs RDP et les utiliser pour maintenir accès aux réseaux de victimes.
Selon le FBI, cet acteur malveillant tente également de violer les systèmes de contrôle de supervision et d’acquisition de données (SCADA) à l’aide de mots de passe par défaut courants.
Liens vers une précédente activité de piratage soutenue par l’Iran
Alors que le FBI a nommé l’acteur de la menace iranien dans le code PIN, l’utilisation d’outils de pentest de site et de scanners de vulnérabilité tels qu’Acunetix et SQLmap pour trouver des serveurs non sécurisés le relie à des campagnes précédentes coordonnées par un groupe de piratage soutenu par l’État iranien.
Par exemple, un autre groupe de piratage iranien anonyme a utilisé des outils similaires pour voler les données d’inscription des électeurs sur les sites électoraux des États entre septembre et octobre 2020.
Ces informations sur les électeurs ont ensuite été utilisées pour usurper l’identité de l’organisation d’extrême droite Proud Boys et envoyer des courriels menaçants aux électeurs démocrates les avertissant qu’ils doivent voter pour Trump ou en subir les conséquences.
La division Cyber du FBI a également averti dans une notification de l’industrie privée publiée la semaine dernière que des gangs de rançongiciels ont compromis les réseaux de plusieurs casinos appartenant à des tribus, démantelant leurs serveurs et désactivant les systèmes connectés.
La même semaine, l’agence fédérale a également alerté le public que les criminels utilisaient de plus en plus les distributeurs automatiques de crypto-monnaie et les codes QR pour la fraude, ce qui rend plus difficile pour les forces de l’ordre de récupérer les pertes financières des victimes.