L'un des principaux groupes de piratage parrainés par l'État iranien a été pris la main dans le sac en train de vendre l'accès à des réseaux d'entreprise compromis sur un forum de piratage clandestin, a fait savoir la société de cybersécurité Crowdstrike dans un rapport publié ce lundi.
La société de cybersécurité a identifié le groupe sous le nom de code Pioneer Kitten, une autre désignation du groupe, également connu sous le nom de Fox Kitten ou Parisite.
Pioneer Kitten
Le groupe, qui selon Crowdstrike est un contractant du régime iranien, a passé la majeure partie des années 2019 et 2020 à pirater des réseaux d'entreprise via des vulnérabilités dans les VPN et les équipements de réseau.
Parmi ces vulnérabilités exploitées par le groupe figurent notamment :
Pulse Secure "Connect" enterprise VPNs (CVE-2019-11510)
Serveurs VPN Fortinet sous FortiOS (CVE-2018-13379)
Serveurs VPN "Global Protect" de Palo Alto Networks (CVE-2019-1579)
Serveurs Citrix "ADC" et passerelles de réseau Citrix (CVE-2019-19781)
Équilibreurs de charge BIG-IP pour les réseaux F5 (CVE-2020-5902)
Un intérêt avant tout financier
Selon un rapport de la société de cybersécurité Dragos, le groupe a piraté des dispositifs de réseau en utilisant les vulnérabilités mentionnées ci-dessus, en installant des portes dérobées, puis en donnant accès à d'autres groupes de piratage iraniens, tels que Shamoon (connu sous la numérotation d'APT33), Oilrig (APT34) ou Chafer.
Ces autres groupes viendraient ensuite élargir l'"accès initial" que Pioneer Kitten a réussi à obtenir en se déplaçant latéralement sur un réseau à l'aide de logiciels malveillants et d'exploits plus avancés, puis en recherchant et en volant des informations sensibles susceptibles d'intéresser le gouvernement iranien. Dans son rapport, Crowdstrike indique notamment que Pioneer Kitten a également été repéré en train de vendre l'accès à certains de ces réseaux compromis sur des forums de piratage, depuis au moins juillet 2020.
Pour la société de cybersécurité, cet intérêt soudain est avant tout d'ordre pécunier.
Crowdstrike estime en effet que le groupe tente simplement de diversifier ses sources de revenus et de monétiser des réseaux qui n'ont aucune valeur pour les services de renseignements iraniens.
Les cibles classiques des groupes de hacking soutenus par l'État iranien comprennent généralement des entreprises et des gouvernements des États-Unis, d'Israël et d'autres pays arabes du Moyen-Orient.
Les secteurs ciblés sont généralement la défense, la santé, la technologie et le gouvernement.
Tout le reste est très probablement hors de portée des pirates informatiques du gouvernement iranien, et sera très probablement mis à la disposition d'autres gangs sur les forums de piratage.
Source ZDNet
Vous nous aimez, prouvez-le....