APT33 : un groupe iranien de cyberespionnage

Le par  |  2 commentaire(s)
hacker

Les chercheurs en sécurité de FireEye mettent au jour le groupe APT33 qui serait lié au gouvernement iranien pour des opérations de cyberespionnage.

Selon un rapport de FireEye, le groupe baptisé APT33 est impliqué depuis au moins 2013 dans des opérations de cyberespionnage. Il serait lié au gouvernement iranien avec des cibles œuvrant dans les secteurs de l'aérospatiale et la pétrochimie aux États-Unis, en Arabie Saoudite et en Corée du Sud.

APT33 a envoyé des emails de phishing ciblé à des employés. Ils contenaient des liens vers des fichiers HTML malveillants (des fichiers .hta) faisant référence à des offres d'emploi en fonction des profils des destinataires. Ces fichiers intégraient un code pour le téléchargement automatique d'une backdoor .

Les liens utilisaient des noms de domaine faisant faussement référence à des entreprises comme Boeing, Alsalam Aircraft Company, Northrop Grumman Aviation Arabia et Vinnell Arabia. Des victimes ayant cliqué ont rapatrié un malware dénommé DropShot.

FireEye-APT33-cibles

Le groupe APT33 semble avoir commis plusieurs erreurs. Notamment, le nom d'utilisateur " xman_1365_x " a été laissé par inadvertance dans des chemins de processus de débogage d'échantillons de la backdoor. En pistant ce pseudonyme en ligne, un lien a été établi avec un Iranien.

À cela s'ajoute des références à la langue majoritaire en Iran (le farsi) dans du code malveillant, et l'indice " habituel " des heures d'activité pour mener des opérations. Pour le groupe APT33, elles correspondent essentiellement aux " heures de bureau " en Iran. Soulignons cependant que l'attribution des cyberattaques demeure un exercice délicat.

L'Iran a développé ses compétences cyber après avoir été la victime du ver informatique Stuxnet pour le sabotage de son programme nucléaire décrié (une attaque de centrifugeuses d'enrichissement d'uranium). Stuxnet aurait été conçu par la NSA, en collaboration avec une unité de renseignement israélienne.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1981387
L'Iran est une abomination qui va nous exploser à la tronche comme le fait la Corée du Nord
Le #1981414
Magic2016 a écrit :

L'Iran est une abomination qui va nous exploser à la tronche comme le fait la Corée du Nord


Je n'irai pas jusque là, mais il est vrai que leur obstination pour leur programme nucléaire (alors qu'ils n'ont pas le droit de le faire) est un poil inquiétante. D'autant qu'ils sont vachement plus proches de l'europe que la Corée du Nord.
Suivre les commentaires
Poster un commentaire
Anonyme