Des pirates informatiques iraniens ont réussi à pénétrer dans les réseaux de quelque 32 entreprises israéliennes, a annoncé lundi la société de sécurité informatique ESET. Des pirates informatiques ont également pénétré une entreprise au Brésil et une autre aux Émirats arabes unis. Les noms des entreprises n’ont pas été révélés, mais elles opèrent dans divers secteurs, tels que l’assurance, la médecine, l’industrie, les communications, l’informatique, la technologie, la vente au détail, l’automobile, le droit, les services financiers, l’architecture et le génie civil.

Le groupe à l’origine de la campagne a été identifié comme étant Ballistic Bobcat, connu sous d’autres noms tels que Charming Kitten, TA543 ou PHOSPHORUS, ainsi que APT35/42. L’objectif principal du groupe est le cyberespionnage, mais il opère également à d’autres niveaux comme le vol de données ou les attaques contre rançon. De plus, selon les résultats, le groupe n’est pas le seul à avoir réussi à accéder aux réseaux des victimes. Au moins 16 entreprises ont été touchées par des attaquants secondaires, même si ESET n’a pas précisé lesquels.

« Il est recommandé aux utilisateurs d’installer des correctifs de sécurité mis à jour sur tous les appareils exposés à Internet et d’être attentifs aux nouvelles applications qui apparaissent de manière inattendue dans leur organisation », a déclaré Adam Berger, un chercheur d’ESET qui a découvert la porte dérobée connue sous le nom de Sponsor et analysé les dernières informations du groupe. campagne de cyberattaque. Backdoor Sponsor utilise des fichiers de configuration stockés sur le disque dur d’un ordinateur. Les fichiers sont secrètement exécutés sous forme de fichiers batch et créés pour paraître légitimes, afin d’éviter d’être détectés par les scanners de sécurité.

Le groupe Ballistic Bobcat a commencé à utiliser la porte dérobée en septembre 2021. Pendant l’épidémie de coronavirus, le groupe Ballistic Bobcat a attaqué des organisations liées à la pandémie, notamment l’Organisation mondiale de la santé (OMS) et des chercheurs en médecine. On soupçonne que ces attaques visaient à transmettre des informations aux autorités iraniennes sur la manière de lutter contre la maladie dans le monde et sur les vaccins développés à l’époque.

Les chercheurs ont également découvert que les pirates ont profité d’une faiblesse connue des serveurs de messagerie Exchange de Microsoft dans au moins 23 des 34 cas d’attaque. Microsoft a déjà publié une mise à jour logicielle pour cette vulnérabilité, de sorte que les victimes n’ont probablement pas mis à jour leurs systèmes en temps réel, permettant ainsi aux pirates d’y pénétrer.

Selon les chercheurs, il ne s’agit pas d’une campagne sélective. Les pirates n’ont pas tenté de pénétrer de manière proactive dans des entreprises individuelles, mais ont simplement scanné à l’aide d’outils de piratage et, lorsqu’ils ont trouvé un moyen de le faire, ils les ont simplement utilisés pour pénétrer dans les réseaux des entreprises.

Les groupes de hackers iraniens opèrent régulièrement contre des cibles en Israël. De nombreuses tentatives sont menées à tout moment pour identifier les faiblesses des réseaux industriels, gouvernementaux et militaires et les exploiter. Des groupes de frappe russes, nord-coréens, syriens et turcs opèrent également régulièrement en Israël, même si leur objectif est généralement plus criminel que politico-stratégique. Cependant, il ne fait aucun doute qu’un groupe qui parvient à pénétrer avec succès dans les ordinateurs israéliens peut également profiter de l’opération au niveau politique.

Israël et l’Iran mènent depuis plusieurs années des cyberattaques systématiques et discrètes. L’activité des Iraniens a été identifiée dans plusieurs cas comme la fermeture de l’hôpital Hillel Yaffe ou l’intrusion dans les réseaux d’entreprises de défense, de municipalités ou encore d’infrastructures nationales et d’entreprises gouvernementales. Dans certains cas, il s’agit de recueillir des renseignements, dans d’autres, l’objectif est de gêner et d’arrêter une activité ou d’installer des chevaux de Troie pour une utilisation ultérieure. À l’heure actuelle, il n’est pas clair si la campagne identifiée a atteint ses objectifs ou si elle continue à affecter activement d’autres victimes.