Les États-Unis et le Royaume-Uni mettent en garde contre les pirates iraniens exploitant Microsoft Exchange et Fortinet

US, UK warn of Iranian hackers exploiting Microsoft Exchange, Fortinet

Les agences de cybersécurité américaines, britanniques et australiennes ont mis en garde aujourd’hui contre l’exploitation continue des vulnérabilités Microsoft Exchange ProxyShell et Fortinet liées à un groupe de piratage soutenu par l’Iran.

L’avertissement a été émis en tant que consultatif commun publié par la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI), le Australian Cyber ​​Security Center (ACSC) et le National Cyber ​​Security Center (NCSC) du Royaume-Uni.

« Le FBI et la CISA ont observé que ce groupe APT parrainé par le gouvernement iranien exploitait les vulnérabilités Fortinet depuis au moins mars 2021 et une vulnérabilité Microsoft Exchange ProxyShell depuis au moins octobre 2021 pour obtenir un accès initial aux systèmes avant les opérations de suivi, qui incluent le déploiement de ransomware , CISA mentionné.

« L’ACSC est également consciente que ce groupe APT a utilisé la même vulnérabilité Microsoft Exchange en Australie », ajoute l’avis conjoint.

Les pirates de l’État iranien concentrent leurs attaques sur les secteurs d’infrastructure critiques américains (par exemple, les transports, les soins de santé) et les organisations australiennes.

Ils visent à obtenir un accès initial aux cibles des secteurs critiques qui pourraient ensuite être utilisés à d’autres fins néfastes, notamment l’exfiltration de données, le déploiement de ransomwares et l’extorsion.

La CISA et le FBI ont également partagé des informations sur plusieurs cas où le groupe de piratage parrainé par l’Iran a été observé, notamment :

  • En mars 2021, le FBI et la CISA ont observé que ces acteurs APT parrainés par le gouvernement iranien scannaient les appareils sur les ports 4443, 8443 et 10443 pour la vulnérabilité Fortinet FortiOS. CVE-2018-13379, et énumérer les appareils pour les vulnérabilités FortiOS CVE-2020-12812 et CVE-2019-5591. Les acteurs de l’APT parrainés par le gouvernement iranien ont probablement exploité ces vulnérabilités pour accéder à des réseaux vulnérables.
  • En mai 2021, ces acteurs APT parrainés par le gouvernement iranien ont exploité une appliance Fortigate pour accéder à un serveur Web hébergeant le domaine d’un gouvernement municipal américain. Les acteurs ont probablement créé un compte avec le nom d’utilisateur elie pour permettre davantage les activités malveillantes.
  • En juin 2021, ces acteurs de l’APT ont exploité un appareil Fortigate pour accéder aux réseaux de contrôle de l’environnement associés à un hôpital américain spécialisé dans la santé des enfants. Les acteurs APT ont accédé à des comptes d’utilisateurs connus à l’hôpital à partir de l’adresse IP 154.16.192[.]70, dont le juge du FBI et de la CISA est associé à la cyberactivité offensive du gouvernement iranien.
  • Depuis octobre 2021, ces acteurs APT ont tiré parti d’une vulnérabilité Microsoft Exchange ProxyShell – CVE-2021-34473 – pour obtenir un accès initial aux systèmes avant les opérations de suivi.

Les informations incluses dans cet avis conjoint correspondent aux détails partagés dans un rapport du Microsoft Threat Intelligence Center (MSTIC) mardi.

Dans le rapport, Microsoft a fourni des informations sur l’évolution des APT iraniens et leur capacité à s’adapter en tant que menace toujours changeante.

Microsoft a déclaré qu’il suivait six groupes de menaces iraniens qui ont déployé des ransomwares et exfiltré des données lors d’attaques qui ont commencé en septembre 2020.

Le MSTIC les a observés en train d’analyser et d’exploiter les vulnérabilités de nombreux produits, notamment le VPN SSL FortiOS de Fortinet et le serveur Microsoft Exchange vulnérable aux bugs ProxyShell.

Il y a une semaine, le FBI a également averti les partenaires de l’industrie privée qu’un acteur de la menace iranien tentait d’acheter des informations volées associées à des organisations américaines et mondiales à partir de sources Web claires et sombres pour violer leurs systèmes,

Attaques de ransomware par des APT iraniens
Attaques de ransomware par des APT iraniens (Microsoft)

« Le FBI, la CISA, l’ACSC et le NCSC exhortent les organisations d’infrastructures critiques à appliquer les recommandations énumérées dans la section Atténuations de cet avis pour atténuer le risque de compromission des cyber-acteurs parrainés par le gouvernement iranien », ont ajouté les agences.

Plus de détails techniques sur ces attaques, y compris les indicateurs de compromission, les tactiques et techniques MITRE ATT&CK, les mesures de détection et les mesures d’atténuation, peuvent être trouvés dans le consultatif commun publié plus tôt dans la journée.