top of page

Cybercrime : Un groupe APT iranien a construit son propre VPN


Cybercrime : Un groupe APT iranien a construit son propre VPN

Selon un article de recherche publié par la société Trend Micro, l’un des groupes de piratage soutenus par l’État iranien a mis en place son propre réseau privé de nœuds VPN, qu’ils utilisent pour se connecter à leur infrastructure, effectuer des reconnaissances sur de futures cibles et même naviguer sur le Web de manière quotidienne.

Le groupe, identifié sous le nom de code APT33, est de loin l’unité de piratage informatique la plus sophistiquée de l’Iran. Ce sont eux qui ont développé le logiciel malveillant connu sous le nom de Shamoon (DistTrack), un « wiper » qui a détruit plus de 35 000 postes de travail chez Saudi Aramco en Arabie saoudite en 2012.

Récemment, le groupe a refait surface avec de nouvelles attaques, visant principalement les industries pétrolière et aéronautique, et même le déploiement d’une nouvelle version du programme malveillant Shamoon, à la fin de l’année dernière. En 2019, les opérations d’APT33 s’appuyaient principalement sur du spear-phishing classique et parfois sur l’utilisation d’une vulnérabilité intelligente dans Outlook.

Selon Trend Micro, les infections dues à APT33 confirmées en 2019 incluent une société américaine privée proposant des services liés à la sécurité nationale, des victimes connectées à une université et à un collège aux États-Unis, une victime très probablement liée à l’armée américaine et plusieurs victimes au Moyen-Orient et en Asie.


publicité

Traquer l’infrastructure d’APT33

Mais les chercheurs disent qu’en enquêtant sur ces attaques, ils ont pu comprendre la façon dont APT33 gère son infrastructure de piratage. Selon les chercheurs, toute l’infrastructure est segmentée en différentes couches, afin de conserver l’anonymat des opérateurs du groupe APT 33.

Basé sur un schéma dessiné à la main et partagé par les chercheurs de Trend Micro, il existe quatre couches entre les opérateurs APT33 et leurs cibles.


  1. VPN – Un réseau personnalisé de nœuds VPN permettant de masquer la véritable adresse IP et l’emplacement de l’opérateur.

  2. Bot Controller – une couche intermédiaire de serveurs

  3. C & C Backend – les serveurs à travers lesquels le groupe gère ses botnets de logiciels malveillants

  4. Proxy – ensemble de serveurs proxy dans le cloud via lesquels les serveurs C & C (commande et contrôle) se cachent des hôtes infectés

Mais ce qui a le plus impressionné les chercheurs, c’est le fait qu’APT33 n’utilisait pas de serveurs VPN commerciaux pour cacher leur emplacement, contrairement à certains groupes de pirates informatiques.

Au lieu de cela, le groupe avait mis en place et exploitait son propre réseau VPN privé. “La configuration d’un réseau privé virtuel privé peut être facilement réalisée en louant quelques serveurs dans des centres de données du monde entier et en utilisant un logiciel open source tel qu’OpenVPN”, expliquent les chercheurs.

Le réseau VPN personnalisé était une grave erreur

Mais ce que le groupe ne savait pas, c’est que cela les rendait plus faciles à suivre. Les chercheurs n’avaient besoin de surveiller que quelques adresses IP pour garder un œil sur le groupe. Si APT33 avait utilisé le réseau d’un fournisseur de réseau privé virtuel, il se serait alors fondu dans tout le trafic légitime.

“APT33 utilise ses nœuds de sortie VPN de façon exclusive”, a déclaré Trend Micro. “Nous suivons certains des nœuds de sortie VPN privés du groupe depuis plus d’un an et avons répertorié les adresses IP associées connues dans le tableau ci-dessous.


” Trend Micro a précisé que le groupe avait également utilisé les mêmes nœuds de sortie VPN privés “pour la reconnaissance des réseaux liés à la chaîne d’approvisionnement de l’industrie pétrolière”.

“Plus concrètement, certaines des adresses IP du tableau 3 ont effectué des reconnaissances sur le réseau d’une société d’exploration pétrolière, sur des hôpitaux militaires au Moyen-Orient et sur une société pétrolière aux États-Unis”, ont déclaré des chercheurs.

“APT33 s’intéresse également aux sites Web spécialisés dans le recrutement de personnel dans l’industrie du pétrole et du gaz”, a déclaré l’équipe de Trend Micro. “Nous recommandons aux sociétés du secteur pétrolier et gazier de revérifier leurs fichiers de journaux de sécurité et de chercher la présence des adresses IP énumérées ci-dessus.”

En outre, Trend Micro a déclaré que APT33 utilisait également son réseau VPN privé pour accéder aux sites Web des sociétés de tests d’intrusion, aux courriers électroniques, aux sites Web sur les vulnérabilités et aux sites de piratage de cryptomonnaie. Des indicateurs de compromis supplémentaires pour les récentes opérations de piratage d’APT33 sont disponibles dans le rapport Trend Micro.

Source : ZDNet.com

0 vue0 commentaire

Comments


bottom of page