Le département du Trésor américain a annoncé vendredi des sanctions contre le ministère iranien du Renseignement et de la Sécurité (VEVAK) et son ministre du Renseignement, Esmaeil Khatib, pour avoir participé à des activités cybernétique contre le pays et ses alliés.

« Depuis au moins 2007, le MOIS et ses mandataires cyber-acteurs ont mené des cyber-opérations malveillantes ciblant des organisations gouvernementales et du secteur privé dans le monde entier et dans des secteurs d’infrastructures critiques », a déclaré le Trésor. a dit.

L’agence a également accusé les acteurs iraniens parrainés par l’État de mener une attaque perturbatrice visant les systèmes informatiques du gouvernement albanais à la mi-juillet 2022, un incident qui a contraint le gouvernement albanais à suspendre temporairement ses services en ligne.

Les développements surviennent des mois près de neuf mois après que le Cyber ​​​​Command américain a signalé une menace persistante avancée (APT) connue sous le nom de MuddyWater comme élément subordonné au sein du MOIS. Il survient également près de deux ans après les sanctions du Trésor contre un autre groupe iranien APT baptisé APT39 (alias Chafer ou Radio Serpens).

Les sanctions de vendredi empêchent effectivement les entreprises et les citoyens américains de s’engager dans des transactions avec MOIS et Khatib, et les citoyens non américains qui s’engagent dans des transactions avec des entités désignées peuvent faire l’objet de sanctions.

Coïncidant avec le blocus économique, le gouvernement albanais a dit la cyberattaque contre l’infrastructure numérique « est orchestrée et parrainée par la République islamique d’Iran grâce à l’implication des quatre groupes qui ont perpétré l’agression ».

Microsoft, qui a enquêté sur l’attaque, a déclaré que les adversaires avaient travaillé ensemble pour mener à bien différentes phases de l’attaque, chaque cluster étant responsable d’un aspect différent de l’opération –

• DEV-0842 déploie un outil de suppression des rançongiciels et des logiciels malveillants
• DEV-0861 obtient un accès anticipé et des données exfiltrées
• DEV-0166 (alias Diviseur d’intimidation) données exfiltrées, et
• DEV-0133 (alias Lyceum ou Siamese Kitten) enquête sur l’infrastructure des victimes

L’équipe de renseignement sur les menaces du géant de la technologie a également lié des groupes impliqués dans l’accès précoce et l’extraction de données à un collectif de piratage informatique lié au MOIS iranien nommé Europium, également connu sous le nom d’APT34, Cobalt Gypsy, Helix Kitten ou OilRig.

« Les attaquants responsables de l’intrusion et de l’exfiltration de données ont utilisé des outils précédemment utilisés par d’autres attaquants iraniens connus », a-t-il déclaré. a dit en plongée technique. « Les attaquants responsables de l’intrusion et de l’exfiltration de données ont ciblé d’autres secteurs et pays conformes aux intérêts de l’Iran. »

« La tentative de destruction parrainée par l’Iran a eu un impact total de moins de 10 % sur l’environnement du client », a noté la société, ajoutant que les actions de post-exploitation impliquaient l’utilisation de shells Web pour la persistance, l’exécution d’inconnus pour la reconnaissance, les techniques de récupération des informations d’identification, et les méthodes d’évasion de la défense pour fermer les produits de sécurité.

Les conclusions de Microsoft correspondent à une analyse antérieure de Mandiant de Google, qui a qualifié les activités à motivation politique d' »expansion géographique perturbatrice des cyber-opérations de l’Iran ».

L’accès initial au réseau de victimes du gouvernement albanais aurait eu lieu début mai 2021 via l’exploitation réussie de la faille d’exécution de code à distance de SharePoint (CVE-2019-0604), suivi de la suppression des e-mails des réseaux compromis entre octobre 2021 et janvier 2022.

Une deuxième vague parallèle de collecte d’e-mails a été observée entre novembre 2021 et mai 2022, éventuellement via un outil appelé Jason. De plus, l’intrusion impliquait la propagation d’un type de rançongiciel appelé ROADSWEEP et la distribution d’un logiciel malveillant de suppression connu sous le nom de ZeroCleare.

Microsoft a qualifié la campagne destructrice de « forme de représailles directes et proportionnées » pour une série de cyberattaques en Iran, dont une mis en scène par un groupe hacktiviste iranien affilié à Mujahedin-e-Khalq (MEK) dans la première semaine de juillet 2022.

Le MEK, également connu sous le nom d’Organisation des moudjahidines du peuple d’Iran (OMPI), est un groupe dissident iranien largement basé en Albanie qui cherche à renverser le gouvernement de la République islamique d’Iran et à installer son propre gouvernement.

« Certaines des organisations albanaises qui ont été ciblées dans l’attaque destructrice étaient des organisations équivalentes et des agences gouvernementales en Iran qui ont déjà subi des cyberattaques avec des messages liés au MEK », a déclaré le fabricant de Windows.

Cependant, le ministère iranien des Affaires étrangères a nier les accusations que le pays était à l’origine des attaques numériques en Albanie, les qualifiant de « sans fondement » et qu’elles faisaient « partie d’un effort international responsable pour faire face à la menace des cyberattaques ».

Par ailleurs condamner les sanctions et a qualifié cette décision de basée sur des allégations « fausses et non prouvées », déclarant qu’il « utilisera toutes ses capacités dans le cadre du droit international pour faire respecter les droits de l’Iran et se défendre contre cette sinistre conspiration ». Le ministère a également accusé les États-Unis de « fournir un soutien total à la secte terroriste », faisant référence au MEK.