Archives du mot-clé Iran

Operation Cleaver : les attaques informatiques menées par l’armée iranienne

La boîte de sécu Cylance a publié un excellent rapport PDF sur ce qu’ils ont baptisé Operation Cleaver : les attaques ciblées menées par des hackers recrutés par le gouvernement iranien.

A l’instar de l’unité 61398 du gov chinois spécialisée dans les cyber-attaques, le gouvernement iranien abrite donc lui aussi son unité sans doute liée au SPND.

Côté technique, même si les hackers n’ont pas le niveau et les moyens des USA (0days, crypto, etc), ils ont quand même quelques tours dans leur sac avec des applications faites-maison et une méthodologie qui semble bien huilée.

Bref l’Iran entre dans la danse et ne veux plus passer pour des cyber-n00bs. Préparons le pop-corn :p

Batchwiper : le nouveau virus qui touche le gov iranien

Via V3 et ArsTechnica :

La nouvelle bestiole découverte par le CERT iranien est bien loin des malwares évolués comme Flame.
Il a pourtant fait son chemin comme un grand avant d’être détecté. La méthode d’infection est inconnue mais on soupçonne l’utilisation du social-engineering.

Batchwiper cherche uniquement à supprimer les données présents sur les volumes Windows dont le label est entre D: et I: inclus.
Il s’ajoute dans le registre pour être chargé au démarrage et utilise quelques noms de process faisant penser à des softs Java ou Microsoft pour se dissimuler.

A part ça… ce ne serait que du code batch « compilé ». Malgré cette ruse de… n00b, le programme n’était pas détecté par les AVs.

Flame : le nouveau cyber-ennemi de l’Iran

Via V3 :

La boite antivirale Kaspersky a mis la main sur la dernière cyber-arme visant l’Iran.
Détecté d’abord par le CERT iranien, le ver Worm.Win32.Flame serait plus évolué que Duqu et Stuxnet d’après Kaspersky.

Cette fois l’exécutable ne cherche pas à mettre à mal des systèmes SCADA mais est clairement destiné au cyber-espionnage via le vol de documents, de mails, la capture d’écran et des touches du clavier, l’écoute réseau ou l’enregistrement de conversations via le microphone de la victime.

Le ver est conçu de façon modulaire via des DLLs. Il peut ainsi charger jusqu’à 20 modules différents allant de la simple compression zip à l’utilisation du langage de programmation LUA en passant par l’accès à des bases de données.

Bien que le code n’ai pas de similitudes avec Stuxnet, des exploits lui permettant de se propager semblent avoir été repris du précédent cyber-cauchemar iranien.
Les binaires ont été anonymisés (les dates correspondent aux années 90) et des 0days doivent être utilisés car le ver parvient à s’introduire dans des systèmes Windows 7.

Comme pour Stuxnet on estime que Flame serait l’œuvre d’un projet gouvernemental.

Iran : Des complexes pétroliers victime d’un ver informatique

 
Des complexes pétroliers auraient été la cible de cyber-attaques le week-end dernier. Un ver informatique aurait en effet été détecté sur le système de contrôle du terminal pétrolier de l’île de Kharg.

Le ministère du pétrole a indiqué que le ver n’a pas causé de dégâts car il a été détecté avant de pouvoir infecter des systèmes… Il y a comme un air de déjà vu

Si ils nous font une conférence de presse à chaque fois que leur Kaspersky met un fichier en quarantaine on n’a pas fini :p

Pour le moment aucune info n’a été donné sur la bestiole, donc impossible de savoir si c’est un Stuxnet/Duqu-like

Sources :
SecurityWeek et Reuters

L’armée iranienne serait en mesure de créer des copies du drone US

Des nouvelles du drone RQ-170 Sentinel que l’armée iranienne aurait capturé en employant une technique de GPS spoofing :

La division aérospatiale de l’armée iranienne indique que ses ingénieurs ont pu analyser et décoder la quasi totalité des infos présentes dans le drone américain.
L’armée US dément toujours ces affirmations et indique que les iraniens ont peu de chance d’extraire des infos utiles de ce drone…

Iran : 3 millions de comptes en banque piratés

Balls… Khosrow Zarefarid doit en avoir…
Cet ancien employé de l’entreprise Eniak chargée des paiements automatisés (DAB) et des paiements électroniques en Iran via le system Shetab (Interbank Information Transfer Network) avait tiré la sonnette d’alarme quand il avait découvert une faille dans ce système il y a un an.

Pour prouver ses dires auprès des différentes banques concernées qu’il avait averti, il avait mis sur la table les numéros de compte de 1000 clients.
Voyant qu’il n’avait aucun retour des banques, il a décidé d’agir autrement : il a publié sur son blog les numéros de comptes bancaires de 3 millions de clients, répartis sur 22 banques. Du coup les banques se bougent enfin pour protéger leurs clients…

Pas fou pour autant, Khosrow Zarefarid a quitté l’Iran. A mon avis le climat là-bas n’est plus ce qu’il était :p

Source : ZeroDay