Des cyberattaques iraniennes ciblant l'infrastructure américaine, avertit le DHS

Une coalition des principales agences américaines de cybersécurité et de renseignement a émis lundi un avertissement sévère : des hackers soutenus par l’État iranien et des hacktivistes affiliés devraient intensifier les cyberattaques ciblant les systèmes de défense américains, l’infrastructure critique et les réseaux industriels, en particulier ceux ayant des liens avec Israël.

Dans un avis conjoint, la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI), le Department of Defense Cyber Crime Center (DC3) et la National Security Agency (NSA) ont exhorté les organisations américaines à rester vigilantes face à une éventuelle activité cybernétique ciblée contre l’infrastructure critique américaine et d’autres entités américaines par des acteurs cybernétiques affiliés à l’Iran, alors que les menaces augmentent en fréquence et en sophistication.

“Malgré un cessez-le-feu déclaré et des négociations en cours vers une solution permanente, les acteurs cybernétiques affiliés à l’Iran et les groupes hacktivistes peuvent encore mener des activités cybernétiques malveillantes.

Les agences auteurs continuent de surveiller la situation et publieront des informations pertinentes sur les menaces cybernétiques et la défense cybernétique dès qu’elles seront disponibles,” indique l’avis conjoint.

Bien qu’aucune campagne coordonnée à grande échelle n’ait encore été détectée, les agences avertissent d’une éventuelle augmentation des cyberattaques de la part de hackers liés à l’Iran, surtout alors que les tensions au Moyen-Orient continuent de monter.

Activité de menace

Les entreprises de la Defense Industrial Base (DIB) - en particulier celles liées à des organisations de recherche ou de défense israéliennes - sont considérées comme étant à risque plus élevé. Ces acteurs exploitent souvent des systèmes mal sécurisés en tirant parti de logiciels non corrigés, de vulnérabilités connues et de mots de passe par défaut ou faibles.

“Les acteurs cybernétiques affiliés à l’Iran et les groupes hacktivistes alignés exploitent souvent des cibles d’opportunité en fonction de l’utilisation de logiciels non corrigés ou obsolètes avec des vulnérabilités communes connues (CVE) ou l’utilisation de mots de passe par défaut ou communs sur des comptes et des appareils connectés à Internet,” a ajouté l’avis.

Les groupes de menaces cybernétiques iraniens, dont beaucoup sont liés aux Gardiens de la Révolution islamique (IRGC), utilisent une gamme de techniques, telles que la devinette automatisée de mots de passe, le craquage de hachages de mots de passe à l’aide de ressources en ligne, et l’entrée de mots de passe par défaut des fabricants, pour pénétrer les systèmes et se déplacer sans être détectés à travers les réseaux.

Lorsqu’ils attaquent des systèmes de technologie opérationnelle (OT), ils utilisent également des outils d’ingénierie système et de diagnostic pour compromettre les performances, la sécurité et les systèmes de maintenance.

Récemment, des hacktivistes alignés sur l’Iran ont augmenté les défigurations de sites Web et les fuites de données, et devraient probablement étendre les attaques par déni de service distribué (DDoS) sur des sites Web américains et israéliens. De plus, les acteurs cybernétiques iraniens pourraient collaborer avec des groupes de ransomware pour chiffrer des données, voler des informations sensibles et les publier en ligne.

Campagnes de menace antérieures

Entre novembre 2023 et janvier 2024, des acteurs cybernétiques affiliés aux Gardiens de la Révolution islamique (IRGC) ont lancé une campagne cybernétique mondiale ciblant des contrôleurs logiques programmables (PLC) fabriqués en Israël et des interfaces homme-machine (HMI), affectant des secteurs américains tels que l’eau, l’énergie, l’alimentation et la santé.

Les acteurs de la menace ont profité de systèmes de contrôle industriel (ICS) accessibles via Internet et utilisant encore des mots de passe par défaut d’usine ou aucun mot de passe, ainsi que des ports de protocole de contrôle de transmission (TCP) par défaut qui n’avaient pas été sécurisés.

En protestation contre le conflit Israël-Hamas, ces acteurs cybernétiques iraniens ont également mené plusieurs opérations de piratage et de fuite pour voler et publier des données sensibles, souvent amplifiées par les réseaux sociaux.

Les attaques ont causé des pertes financières, des dommages à la réputation et visaient à saper la confiance du public dans la cybersécurité. Bien que la plupart des cibles aient été israéliennes, au moins une entreprise américaine de télévision par protocole Internet (IPTV) a également été affectée.

Atténuations

Les agences auteurs, en collaboration avec des partenaires gouvernementaux américains et étrangers, suggèrent des mesures immédiates pour les organisations, en particulier celles de l’infrastructure critique :

• Identifier et déconnecter les systèmes OT et ICS d’Internet public.
• Remplacer les mots de passe faibles/par défaut et mettre en œuvre une authentification multi-facteurs (MFA) résistante au phishing.
• Appliquer rapidement les derniers correctifs logiciels du fabricant.
• Surveiller les comportements d’accès à distance inhabituels.
• Effectuer des sauvegardes complètes des systèmes et des données.
• Limiter les privilèges d’administration et adopter la micro-segmentation.

Pour des informations supplémentaires, les organisations peuvent se référer à l’aperçu des menaces iraniennes de la CISA et aux pages Web sur les menaces iraniennes du FBI.