APT34 a attaqué des cibles dans plusieurs pays, dont le Liban, la Jordanie et Israël, entre autres, selon une multitude de rapports d’entreprises de cybersécurité.

L’Albanie a annoncé mercredi la rupture de ses liens avec l’Iran et l’expulsion de ses diplomates en raison d’une cyberattaque qui, selon les Iraniens, s’est produite en juillet et visait à détruire l’infrastructure numérique de l’ Albanie .

Dans l’annonce, le Premier ministre albanais Edi Rama a déclaré qu’après une enquête approfondie, il a été confirmé “avec des preuves irréfutables” que l’attaque a été menée par l’Iran .

Rama a ajouté que l’attaque avait été menée par quatre groupes de hackers agissant de concert, dont un “groupe cyberterroriste international notoire” qui, selon lui, a mené des attaques contre Israël , l’Arabie saoudite , les Émirats arabes unis, la Jordanie , le Koweït et Chypre. Le premier ministre n’a pas nommé les groupes.

En août, la société de cybersécurité Mandiant a signalé qu’elle avait lié la cyberattaque contre l’Albanie à des pirates informatiques iraniens.

Un des conseillers de Netanyahu avant l’entrée à Gaza : “Après la guerre, il sera juste d’aller aux élections”
Article aimé par nos lecteurs
Un des conseillers de Netanyahu avant l’entrée à Gaza : “Après la guerre, il sera juste d’aller aux élections”

Qui a revendiqué l’attaque ?

Bien que Rama n’ait pas nommé les groupes spécifiques responsables de l’attaque, un groupe se faisant appeler “HomeLand Justice” a publié des déclarations, des captures d’écran et des informations en juillet sur une chaîne Telegram et sur un site Web utilisant un domaine russe lié à la cyberattaque.

Nous menons les #CyberAttacks pour exprimer notre haine et notre colère envers le gouvernement albanais. Les terroristes et les pilleurs d’argent n’ont pas leur place sur notre terre sacrée. Notre terre doit être défrichée”, a écrit le groupe dans un article de Telegram.

Le groupe, qui se présentait comme albanais, faisait référence au groupe d’opposition iranien Mujahedin-e-Khalq (MEK) dans tous ses messages, se plaignant que le gouvernement albanais soutenait le MEK.

HomeLand Justice a également publié des fichiers qui, selon lui, contenaient des données provenant des boîtes de réception des fonctionnaires et des bureaux du gouvernement albanais.

Quelle relation entretient HomeLand Justice avec l’Iran ?

Selon Mandiant, un rançongiciel appelé ROADSWEEP a affiché une note de rançon qui disait « Pourquoi nos impôts devraient-ils être dépensés au profit des terroristes de DURRES ? » sur les ordinateurs qu’il a infectés lors de l’attaque. Le Sommet mondial du MEK pour un Iran libre devait se tenir en juillet dans la ville de Manëz, dans le comté de Durrës.

Quelle relation Israël entretient-il avec la rupture des liens entre l’Albanie et l’Iran ?

Le logo du groupe HomeLand Justice était identique au fond d’écran utilisé par le rançongiciel ROADSWEEP. Le graphique montre un cercle avec des lignes en forme de circuit et le contour d’une étoile de David, ainsi qu’un aigle avec des serres pointées vers l’étoile.

On ne sait pas pourquoi l’étoile de David a été utilisée dans le logo, car le groupe n’a fait aucune référence aux Juifs ou à l’État d’Israël dans ses messages.

Mandiant a découvert que l’attaque utilisait également une porte dérobée appelée CHIMNEYSWEEP qui a probablement été utilisée dans des attaques contre des locuteurs de farsi et d’arabe depuis 2012. CHIMNEYSWEEP et ROADSWEEP ont plusieurs morceaux de code en commun.

 

CHIMNEYSWEEP fonctionne grâce à un fichier auto-extractible qui le contient et un fichier leurre Excel, Word ou vidéo.

 

Un outil appelé ZEROCLEARE, qui corrompt les systèmes de fichiers, peut également avoir été utilisé dans l’attaque, selon Mandiant.

ZEROCLEARE a été utilisé par des pirates informatiques iraniens à plusieurs reprises ces dernières années, selon plusieurs rapports. Un autre nettoyant appelé Dustman, qui a été identifié comme une ramification très similaire de ZEROCLEARE, a été utilisé dans une attaque contre la compagnie pétrolière nationale de Bahreïn Bapco en 2019. Bien qu’ils soient très similaires, on ne sait pas si Dustman a été fabriqué et utilisé par le même. groupes utilisant ZEROCLEARE.

 

Mandiant a estimé qu’un ou plusieurs acteurs de la menace travaillant pour l’Iran étaient impliqués dans la cyberattaque contre l’Albanie en raison du moment de l’attaque avant la conférence prévue du MEK, du contenu du groupe Telegram axé sur le MEK et de la longue histoire de CHIMNEYSWEEP qu’il est utilisé pour attaquer les locuteurs du farsi et de l’arabe.

Article aimé par nos lecteurs
L’Iran menace “de transformer Tel Aviv et Haïfa en poussière “

La société de cybersécurité a souligné que l’attaque était cependant “nettement plus complexe” que les opérations précédentes de CHIMNEYSWEEP, ajoutant que cela pourrait indiquer une collaboration entre équipes ou d’autres scénarios.

“L’utilisation d’un logiciel de rançon pour mener une opération de perturbation à motivation politique contre des sites Web gouvernementaux et des services aux citoyens d’un État membre de l’OTAN dans la même semaine qu’une conférence de groupe de l’opposition iranienne serait une opération remarquablement effrontée de la part de l’Iran- acteurs de la menace liés », a déclaré Mandiant dans le rapport.

Alors que les négociations autour de l’accord sur le nucléaire iranien continuent de stagner, cette activité indique que l’Iran pourrait se sentir moins contraint de mener de futures opérations de cyberattaque. Cette activité est également une extension géographique des cyber-opérations perturbatrices iraniennes menées contre un État membre de l’OTAN. Cela peut indiquer une tolérance au risque plus élevée dans l’utilisation d’outils perturbateurs contre des pays perçus comme travaillant contre les intérêts iraniens.

Qu’est-ce que cela a à voir avec Israël et d’autres pays du Moyen-Orient ?

Selon un rapport de X-Force IRIS d’IBM, ZEROCLEARE a été utilisé dans une cyberattaque destructrice au Moyen-Orient. X-Force IRIS a estimé qu’un groupe iranien connu sous le nom de groupe de menace ITG13 ou APT34/OilRig et au moins un autre groupe probablement basé en Iran ont collaboré à cette attaque.

Les attaques APT34 ont également utilisé des documents Word leurres pour infecter les systèmes informatiques lors d’attaques précédentes, selon la société israélienne de cybersécurité CheckPoint.

Un acteur russe nommé ITG12 ou Turla a également accès aux outils utilisés par APT34, selon X-Force IRIS. Turla a utilisé l’infrastructure APT34 pour mener ses propres attaques, apparemment sans la coopération ou l’accord explicite du groupe iranien, selon la National Security Agency (NSA) américaine et le National Cyber ​​​​Security Center du GCHQ.

Bien qu’il ne soit toujours pas clair si APT34 était le groupe derrière l’attaque contre l’Albanie, les outils auxquels il a été lié ont été utilisés dans l’attaque qui a été liée à l’Iran.

APT34 a attaqué des cibles dans plusieurs pays, dont le Liban, la Jordanie et Israël, entre autres, selon une multitude de rapports d’entreprises de cybersécurité

Les pays ciblés par ZEROCLEARE et APT34 dans le passé semblent largement coïncider avec la liste des pays cibles déclarée par le Premier ministre arménien, bien qu’aucune attaque publiquement signalée à Chypre n’ait été liée à APT34 ou ZEROCLEARE.

Les cyberattaques iraniennes ont ciblé à plusieurs reprises des installations civiles dans le passé.

En 2020, des pirates informatiques soutenus par l’Iran auraient tenté d’attaquer et de saboter les installations d’eau et d’égouts israéliennes. Des attaques attribuées à des pirates informatiques soutenus par l’Iran ont également ciblé des installations médicales en Israël.

À propos de l’auteur : Tzvi Joffre est un rédacteur en chef du journal The Jerusalem Post.

Netanyahu : ‘La Shoah n’a pas commencé dans les chambres à gaz d’Auschwitz’
Article aimé par nos lecteurs
Netanyahu : ‘La Shoah n’a pas commencé dans les chambres à gaz d’Auschwitz’

Les soldes folles continuent sur Aliexpress ! Dans le cadre de la vente, il y aura une baisse de prix sur une grande variété de produits Et les coupons sont particulièrement intéressants !! La liste des coupons contre une variété de produits :
  • 🛒 3$ de rabais sur les achats de plus de 29$ : Code promo OUTDOOR3
  • 🛒 8$ de rabais sur les achats de plus de 69$ : Code promo OUTDOOR8
  • 🛒 20$ de rabais sur les achats de plus de 169$ : Le code promo est OUTDOOR20
  • 🛒 30$ de rabais sur les achats de plus de 239$ : Le code promo est OUTDOOR30
  • 🛒 50$ de rabais sur les achats de plus de 369$ : Le code promo est OUTDOOR50
Allez sur la page de vente ici : https://s.click.aliexpress.com/e/_Dk87Pwp

 

 

.

Nos autres sites sur Alyaexpress-News
  • Infos Israel News - Toute l'info en direct d'Israel
Lien  : https://infos-israel.news/
  • RAK BE ISRAEL - Les infos liées à toutes les bonnes nouvelles en Israel
Lien  : https://rakbeisrael.buzz/
  • CQVC - Recherche et analyses contre les fakes news !
Lien : https://cqvc.online/
  • Alyaexpress-News - Les infos de tous nos sites réunis :
Lien  : https://alyaexpress-news.com/
  • Ougasheli - La pâtisserie et la cuisine juive
Lien  : https://ougasheli.com/
  • Israel Chrono : Vente produits de la mer morte, produits judaïques, cadeaux Bar et Bat Mitsva .....et plein de nouveaux produits chaque jour à des prix imbattables !
Lien : https://israelchrono.com/  

Cela peut vous intéressez