APT33 : ce groupe pirate visant des industries sensibles serait piloté par l’Iran

apt33-fireye-groupe-pirate-iran

Des pirates liés à l’Iran seraient à l’origine d’opérations potentiellement « destructrices » dans l’énergie et l’aéronautique,selon FireEye.

L’industrie est une cible de choix pour les groupes de pirates informatiques et les États qui les financent. En témoigne une enquête menée par Mandiant, une entité du fournisseur de solutions de sécurité IT FireEye.

Dans le cadre d’une enquête, la société américaine met à jour une vaste campagne de cyberespionnage « probablement » supervisée par l’Iran. 

Des assauts menés par un groupe de hackers surnommé APT33 ont été repérés depuis 2013 (au moins).

Ces opérations ciblent différents secteurs industriels, dont l’aéronautique et l’énergie, plus particulièrement la production pétrochimique, relève FireEye dans son rapport.

Elles ont visé des organisations américaines et des compagnies saoudiennes.

Dans ce cadre, APT33 aurait transmis à des cibles d’utilisateurs spécifiques des e-mails contenant des liens malicieux (sous forme de spear phishing ou hameçonnage cible).

Le fait de cliquer sur les messages infectueux permettait l’exécution d’un programme malveillant (malware) et l’installation de portes dérobées (backdoors) pour accéder à des données sensibles du PC/terminal contaminé.

Comment les utilisateurs sont-ils leurrés ? Les courriels piégés faisaient la promotion d’offres d’emploi légitimes émanant de grands groupes industriels, dont ils reprenaient la charte graphique. Et ce, pour mieux tromper la vigilance des cibles. Et le piège a fonctionné, semble-t-il.

Entre mi-2016 et début 2017, une organisation implantée aux États Unis et un conglomérat basé en Arabie Saoudite, tous deux actifs dans l’aéronautique, en ont fait les frais, selon FireEye.

Une société sud-coréenne opérant dans le raffinage pétrolier ferait également partie des entreprises touchées.

Pour mener leurs opérations, les pirates auraient également enregistré de multiples noms de domaine. Certains faisant référence à des sociétés comme Boeing et Northrop Grumman Aviation Arabia (NGAA), rapporte FireEye.

Dans l’ombre de « l’effaceur »

Plus inquiétant encore que le simple phishing, DropShot, un des programmes malveillants utilisés par le groupe APT33, serait lié au malware StoneDrill (également connu sous le nom de ShapeShift), indique FireEye dans son rapport.

StoneDrill, découvert par l’éditeur russe Kaspersky Lab, se présente comme une variante de l’effaceur (« wiper ») Shamoon 2 qui a vocation à écraser les données des disques durs des machines infectées…

Selon FireEye, cela peut signifier « qu’APT33 s’engage dans des opérations destructrices ou qu’il partage des outils ou des développeurs avec un autre groupe basé en Iran » qui se charge de telles opérations.

De plus, le spécialiste de la sécurité des réseaux s’attend « à ce que l’activité d’APT33 continue de couvrir un large éventail d’entités cibles et se répande dans d’autres régions et secteurs qui correspondent aux intérêts iraniens ».

Lire également :

L’effaceur de disques durs StoneDrill s’intéresse à l’Europe

Industroyer : anatomie du malware qui cible les réseaux électriques

crédit photo © BeeBright / Shutterstock