Tout au long du mois de mars, des hackers ont visé plus de 300 organisations israéliennes et une vingtaine aux Émirats arabes unis via une technique rodée de vol de mots de passe. Les tentatives étaient principalement tournées vers les municipalités, ce qui, selon Check Point Research, trahit une intention liée aux frappes de missiles iraniennes du même mois.
Trois vagues d'attaques, les 3, 13 et 23 mars, exactement espacées de dix jours. Check Point Research a publié mardi le détail d'une campagne de password spraying ciblant les environnements Microsoft 365 au Moyen-Orient, principalement en Israël et aux Émirats arabes unis. Plutôt que de marteler un seul compte jusqu'au blocage, les attaquants testent simultanément des centaines de comptes avec les mêmes mots de passe courants, de façon à passer sous les radars des systèmes de détection automatique.
Des comptes Microsoft 365 municipaux dans le viseur, au rythme des bombardements
Check Point a relevé une correspondance entre les villes visées par ces intrusions informatiques et celles qui ont subi des frappes de missiles iraniens ce même mois de mars. En effet, après un bombardement, ce sont les mairies et les services municipaux qui recensent les destructions, coordonnent les secours et chiffrent les dégâts sur le terrain. Accéder à leurs systèmes de messagerie permettrait d'évaluer l'efficacité de ces frappes, ce que Check Point appelle le « Bombing Damage Assessment ». Cela donnerait à l'attaquant une image précise de l'ampleur des dégâts causés par ses propres frappes. C'est probablement pour ça que ces organisations ont été ciblées en priorité.
D'autres secteurs ont aussi été touchés, dans des proportions moindres, parmi lesquels des entreprises technologiques (63 tentatives recensées), des acteurs des transports et de la logistique (32), de la santé (28) et de l'industrie (28). Des cibles en Europe, aux États-Unis et en Arabie saoudite ont également été visées, en nombre nettement plus limité.
L'attaque se déroule en trois phases.
D'abord, un scan massif depuis des nœuds de sortie Tor changés en continu, avec un agent utilisateur qui se fait passer pour Internet Explorer 10, un navigateur abandonné depuis plus d'une décennie. Quand des identifiants valides sont trouvés, la connexion bascule vers des adresses IP VPN géolocalisées en Israël, via Windscribe ou NordVPN, pour contourner les restrictions géographiques de Microsoft 365. Puis vient l'accès aux boîtes mail et aux données qu'elles contiennent.
Une piste iranienne solide, mais pas encore prouvée
Check Point pointe vers Gray Sandstorm, un groupe rattaché aux Gardiens de la révolution islamique, en s'appuyant sur des similitudes dans les outils et dans l'infrastructure réseau. L'AS35758, un système autonome enregistré sous le nom Rachamim Aviel Twito, a déjà été associé à des opérations suspectées d'être iraniennes dans la région. Check Point qualifie pourtant cette attribution de confiance « modérée » : dans le vocabulaire du renseignement cyber, les indices convergent sans qu'une preuve directe soit disponible.
Tor et les VPN commerciaux sont accessibles à n'importe quel groupe, loués ou imités sans difficulté. Des acteurs tiers pourraient très bien avoir reproduit les mêmes schémas pour orienter les soupçons vers Téhéran.
Par ailleurs, on ne trouve aucune information précise dans le rapport sur l'étendue réelle des dégâts. Combien de comptes ont effectivement été compromis parmi les organisations ciblées ? Quelles données ont été exfiltrées au-delà du contenu des boîtes mail ? Des accès administrateurs ont-ils été obtenus ? Autant de questions que Check Point laisse, à l'heure où nous écrivons ces lignes, sans réponse.
Source : The Register
