Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
L'APT34 iranien frappe les Émirats arabes unis avec une attaque sur la chaîne d'approvisionnement
La menace avancée persistante liée à l’Iran, connue sous le nom d’APT34, récidive, montant cette fois une attaque contre la chaîne d’approvisionnement dans le but ultime d’accéder aux cibles gouvernementales aux Émirats arabes unis (EAU).
Maher Yamout, chercheur principal en sécurité au centre de recherche EEMEA de Kaspersky, affirme que les attaquants ont utilisé un formulaire de recrutement informatique malveillant comme leurre. APT34 (alias OilRig) a créé un faux site Web pour se faire passer pour une société informatique aux Émirats arabes unis, a envoyé le formulaire de recrutement à une société informatique cible et, lorsque la victime a ouvert le document malveillant pour probablement postuler à l'emploi informatique annoncé, un logiciel malveillant volant des informations réalisé.
Yamout affirme que le logiciel malveillant a collecté des informations sensibles et des informations d'identification qui ont permis à APT34 d'accéder aux réseaux clients de l'entreprise informatique. Il explique que l'attaquant a ensuite spécifiquement cherché à cibler les clients du gouvernement, en utilisant l'infrastructure de messagerie du groupe informatique victime pour la communication de commande et de contrôle (C2) et l'exfiltration de données. Kaspersky n'a pas pu vérifier si les attaques gouvernementales ont réussi en raison de sa visibilité limitée en aval, mais « nous évaluons qu'elles l'ont été avec un niveau de confiance moyen-élevé », dit Yamout, compte tenu du taux de réussite typique du groupe.
Selon les recherches de Kaspersky, les échantillons de logiciels malveillants utilisés dans la campagne aux Émirats arabes unis ressemblaient à ceux utilisés lors d'une précédente intrusion dans la chaîne d'approvisionnement APT34 en Jordanie, qui utilisait des tactiques, techniques et procédures (TTP) similaires, ciblant notamment des entités gouvernementales. Dans ce cas, Yamout dit qu'il soupçonnait que LinkedIn avait été utilisé pour fournir un formulaire d'emploi tout en se faisant passer pour une entreprise de recrutement d'une entreprise informatique.
Le stratagème du recrutement d'emplois est une tactique qui a été utilisée par de nombreuses organisations de cyberattaques au fil des ans, notamment par le groupe nord-coréen Lazarus à plusieurs reprises, et par des cyberattaquants se faisant passer pour des recruteurs militaires.
APT34 est un groupe menaçant iranien opérant principalement au Moyen-Orient en ciblant les organisations de cette région qui œuvrent dans divers secteurs. Cela a déjà été lié à d’autres activités de cybersurveillance, comme une attaque contre les Émirats arabes unis au début de cette année.
Il mène souvent des attaques sur la chaîne d'approvisionnement, dans lesquelles le groupe malveillant exploite la relation de confiance entre les organisations pour attaquer ses cibles principales, ciblant systématiquement des organisations spécifiques qui semblent être soigneusement choisies à des fins stratégiques.
Selon une étude de Mandiant, APT34 est opérationnel depuis au moins 2014 et utilise un mélange d'outils publics et non publics, menant souvent des opérations de spear phishing à l'aide de comptes compromis, parfois associées à des tactiques d'ingénierie sociale.
"Nous estimons qu'APT34 fonctionne au nom du gouvernement iranien sur la base de détails d'infrastructure contenant des références à l'Iran, de l'utilisation de l'infrastructure iranienne et d'un ciblage qui correspond aux intérêts de l'État-nation", a noté Mandiant dans son rapport. C'est une évaluation partagée par le gouvernement américain, qui a sanctionné l'Iran l'année dernière pour les activités d'APT34.