Dernière mise à jour 11:56:33 AM
  • English
  • French
  • Deutch
  • Italian
  • Arab
  • Spanish
  • Albanian
  • English
  • French
  • Deutch
  • Italian
  • Arab
  • Spanish
  • Albanian

Un faux site Web affilié au régime iranien vise les anciens combattants américains

Un faux site Web affilié au régime iranien vise les anciens combattants américains

Fox News a rapporté vendredi que des chercheurs ont démasqué un site Web déguisé en site d'emploi pour les anciens combattants américains qui pourraient avoir des liens avec le régime iranien.

Les chercheurs de la société de sécurité Cisco Talos ont rapporté cette semaine que le site Web, Hire Military Heroes, répendait des logiciels malveillants qui permettent aux pirates de prendre le contrôle de l'ordinateur de la victime.

Ce qui est intéressant, c'est que les pirates informatiques peuvent aussi cibler des militaires actifs et pas seulement des vétérans, a rapporté ZDNet, qui indique que Téhéran pourrait être derrière l’attaque.

Un analyste de la cybersécurité du Département de la sécurité intérieure des États-Unis, s'exprimant sur le contexte, a déclaré a ZDNet que les auteurs des attaques visent des réseaux militaires.

« Ils [les pirates] espèrent que l'une de leurs cibles utiliserait un système de DOD pour télécharger et faire lancer le malware », a-t-il déclaré à la presse. « Les chances sont faibles, mais il vaut la peine d’essayer...Plutôt intelligent si je peux me permettre de le dire », a ajouté l'analyste, faisant mention au Département de la défense.

Le mauvais acteur avait déjà été identifié par Symantec comme étant Tortoiseshell, un groupe qui a perpétré une précédente attaque contre un fournisseur informatique en Arabie Saoudite, selon Cisco Talos.

Le faux site Web des anciens combattants a trois liens pour télécharger gratuitement une application de bureau – mais l’installateur de l'application est, en fait, faux. Lorsque le faux programme d'installation démarre, la barre de progression se remplit presque entièrement, puis affiche un message d'erreur.

« L'installateur vérifie si Google est joignable. Sinon, l'installation s'arrête. S'il est accessible, le programme d’installation télécharge deux [fichiers] binaires », selon Cisco Talos.

L'un des fichiers binaires est utilisé pour effectuer la « reconnaissance » sur le système et le second est le fichier d’administration à distance.

« L'auteur de l’attaque récupère des informations telles que la date, l'heure et les fichiers », ont indiqué les chercheurs de Cisco Talos dans le rapport.

L'auteur de l’attaque peut alors voir les informations sur le système, le niveau du patch, le nombre de fichiers, la configuration du réseau, le matériel, les versions du firmware, le contrôleur de domaine, le nom de l'administrateur, la liste des comptes, etc. Il s'agit d'une quantité importante d'informations relatives à un ordinateur et qui arment le hacker pour mieux préparer des attaques supplémentaires. »

La quantité et le type d'informations ciblées rendent les attaques particulièrement dangereuses, a déclaré Warren Mercer, chercheur chez Cisco Talos, à Fox News.
« Quand vous vous concentrez sur le plan des hackers, il est peu probable qu'il s'agisse d'une attaque de type jardin... ils voulaient certainement quelque chose de beaucoup plus significatif que les photos de votre chat », a déclaré Mercer.

Il a ajouté qu'il est difficile d'évaluer l'efficacité de cette attaque puisqu'elle a été découverte avant que l'opération ne passe à la vitesse supérieure. Nous n'avons identifié aucune activité « sauvage » associée et depuis notre publication, le site web de l'auteur de la menace est indisponible. »

Multimedia

Contactez-nous

© 2020 Copyright CNRI - Conseil National de la Résistance Iranienne - Tous droits réservés