Pour gérer vos consentements :

APT33 : ce groupe pirate visant des industries sensibles serait piloté par l’Iran

L’industrie est une cible de choix pour les groupes de pirates informatiques et les États qui les financent. En témoigne une enquête menée par Mandiant, une entité du fournisseur de solutions de sécurité IT FireEye.

Dans le cadre d’une enquête, la société américaine met à jour une vaste campagne de cyberespionnage « probablement » supervisée par l’Iran.

Des assauts menés par un groupe de hackers surnommé APT33 ont été repérés depuis 2013 (au moins).

Ces opérations ciblent différents secteurs industriels, dont l’aéronautique et l’énergie, plus particulièrement la production pétrochimique, relève FireEye dans son rapport.

Elles ont visé des organisations américaines et des compagnies saoudiennes.

Dans ce cadre, APT33 aurait transmis à des cibles d’utilisateurs spécifiques des e-mails contenant des liens malicieux (sous forme de spear phishing ou hameçonnage cible).

Le fait de cliquer sur les messages infectueux permettait l’exécution d’un programme malveillant (malware) et l’installation de portes dérobées (backdoors) pour accéder à des données sensibles du PC/terminal contaminé.

Comment les utilisateurs sont-ils leurrés ? Les courriels piégés faisaient la promotion d’offres d’emploi légitimes émanant de grands groupes industriels, dont ils reprenaient la charte graphique. Et ce, pour mieux tromper la vigilance des cibles. Et le piège a fonctionné, semble-t-il.

Entre mi-2016 et début 2017, une organisation implantée aux États Unis et un conglomérat basé en Arabie Saoudite, tous deux actifs dans l’aéronautique, en ont fait les frais, selon FireEye.

Une société sud-coréenne opérant dans le raffinage pétrolier ferait également partie des entreprises touchées.

Pour mener leurs opérations, les pirates auraient également enregistré de multiples noms de domaine. Certains faisant référence à des sociétés comme Boeing et Northrop Grumman Aviation Arabia (NGAA), rapporte FireEye.

Dans l’ombre de « l’effaceur »

Plus inquiétant encore que le simple phishing, DropShot, un des programmes malveillants utilisés par le groupe APT33, serait lié au malware StoneDrill (également connu sous le nom de ShapeShift), indique FireEye dans son rapport.

StoneDrill, découvert par l’éditeur russe Kaspersky Lab, se présente comme une variante de l’effaceur (« wiper ») Shamoon 2 qui a vocation à écraser les données des disques durs des machines infectées…

Selon FireEye, cela peut signifier « qu’APT33 s’engage dans des opérations destructrices ou qu’il partage des outils ou des développeurs avec un autre groupe basé en Iran » qui se charge de telles opérations.

De plus, le spécialiste de la sécurité des réseaux s’attend « à ce que l’activité d’APT33 continue de couvrir un large éventail d’entités cibles et se répande dans d’autres régions et secteurs qui correspondent aux intérêts iraniens ».

Lire également :

L’effaceur de disques durs StoneDrill s’intéresse à l’Europe

Industroyer : anatomie du malware qui cible les réseaux électriques

crédit photo © BeeBright / Shutterstock

Recent Posts

Legapass : comment protéger ses données privées jusque dans l’au-delà

Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…

2 jours ago

Iris, un assistant d’IA conversationnelle en langue des signes

Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…

3 jours ago

GenAI : le Royaume-Uni poursuit ses investigations sur les partenariats de Microsoft et Amazon

L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…

4 jours ago

Clients de VMware : les raisons de la colère

Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…

4 jours ago

Laurent Carlier – BNP Paribas Global Market : « L’IA permet de modéliser des relations plus complexes, mais il faut rester prudent »

La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…

4 jours ago

Open Compute Project : les datacenters partagent des bonnes pratiques pour l’environnement

OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…

4 jours ago