Trois ressortissants iraniens, nommés Mansour Ahmadi, Ahmad Khatibi Aghda et Amir Hossein Nickaein Ravari, ont été inculpés aux États-Unis pour leur implication présumée dans une campagne de cyberattaques ciblant plusieurs victimes aux États-Unis, au Royaume-Uni, en Israël et en Iran, y compris des opérateurs. des infrastructures nationales critiques (CNI).
Les trois sont accusés d’exploiter les vulnérabilités connues du matériel et des logiciels de réseau couramment utilisés pour accéder aux systèmes de leurs cibles, exfiltrer des données et d’autres informations et mener un certain nombre d’attaques de ransomwares.
Outre les organisations des secteurs du gouvernement, de la santé, des transports et des services publics, le trio ciblait également les établissements d’enseignement, les organisations à but non lucratif, les organismes religieux et les petites et moyennes entreprises (PME).
“Les cyberattaques liées aux rançons – comme ce qui s’est passé ici – sont une forme particulièrement destructrice de cybercriminalité”, a déclaré l’avocat américain Philip Sellinger.
“Aucune forme de cyberattaque n’est acceptable, mais les attaques de ransomwares qui ciblent les services d’infrastructure critiques, tels que les établissements de santé et les agences gouvernementales, constituent une menace pour notre sécurité nationale. Les pirates comme ces accusés se donnent beaucoup de mal pour garder leur identité secrète, mais il y a toujours une piste numérique. Et nous le trouverons.
Le procureur général adjoint Matthew Olsen a ajouté: «Ces accusés ont peut-être piraté et extorqué des victimes – y compris des fournisseurs d’infrastructures critiques – pour leur gain personnel, mais les accusations reflètent la façon dont les criminels peuvent s’épanouir dans le refuge que le gouvernement iranien a créé et est responsable pour.
“Selon l’acte d’accusation, même d’autres Iraniens sont moins en sécurité parce que leur propre gouvernement ne respecte pas les normes internationales et n’arrête pas les cybercriminels iraniens.”
Les chefs d’accusation spécifiques dans les actes d’accusation, qui ont été dévoilés le 14 septembre dans l’État du New Jersey (NJ), concernent deux incidents survenus dans l’État au cours d’une année.
Dans le premier incident, les accusés et leurs co-conspirateurs sont accusés d’avoir pris pour cible un canton du comté d’Union, New Jerseyen février 2021, exploitant des vulnérabilités connues pour accéder et contrôler les réseaux des administrations locales, et établir un accès à distance à un domaine enregistré auprès d’Ahmadi.
Un an plus tard, en février 2022, ils sont accusés d’avoir ciblé un cabinet comptable dans le comté voisin de Morris, d’avoir à nouveau accès et établi une connexion à un serveur contrôlé par Nickaein, qui a été utilisé pour exfiltrer des données et par la suite, pour lancer un double extorsion ransomware attaque, dans laquelle ils ont exigé la somme de 50 000 $ en crypto-monnaie.
On pense que les autres victimes du groupe se comptent par centaines et sont connues pour avoir inclus un autre cabinet comptable dans l’Illinois, un gouvernement de comté dans le Wyoming, une entreprise de construction à Washington, un refuge contre la violence domestique en Pennsylvanie, des services publics d’électricité dans l’Indiana et le Mississippi, une société de logement public à Washington et une association du barreau d’État non divulguée.
L’acte d’accusation les accuse tous trois d’un chef de complot en vue de commettre une fraude informatique et d’activités connexes, d’un chef d’endommagement intentionnel d’un ordinateur protégé et d’un chef de transmission d’une demande en rapport avec l’endommagement d’un ordinateur protégé. Ahmadi est en outre accusé d’un chef supplémentaire d’avoir intentionnellement endommagé un ordinateur protégé.
Cumulativement, les accusations sont passibles d’une peine maximale de 20 ans de prison et d’amendes pouvant aller jusqu’à 250 000 dollars, mais comme les trois hommes résident en Iran, à moins de changements géopolitiques importants dans la région, il est peu probable qu’ils soient un jour extradés. essai.
Le vice-président de Mandiant, John Hultquist, a déclaré qu’il suivait le groupe, que Mandiant relie à un groupe d’activités de menace connu sous le nom d’UNC2448, qui est également suivi par d’autres sous le nom de DEV-0270 et Cobalt Mirage, depuis un certain temps. Le groupe est connu pour son analyse généralisée de diverses vulnérabilités, l’utilisation de l’outil Fast Reverse Proxy et l’activité de ransomware utilisant BitLocker.
Il est lié avec une certaine confiance au Corps des gardiens de la révolution iraniens. Cependant, a déclaré Hultquist, les activités dont les hommes sont accusés n’ont peut-être pas été ordonnées par Téhéran.
« Nous pensons que ces organisations ont peut-être travaillé au noir en tant que criminels en plus de leur statut de sous-traitants au service du CGRI. Le CGRI s’appuie fortement sur les sous-traitants pour mener à bien leurs cyber-opérations », a-t-il déclaré.
« Ce groupe a mené une opération effrontée et généralisée d’analyse des vulnérabilités contre des cibles aux États-Unis, au Canada, en Israël, aux Émirats arabes unis et en Arabie saoudite, à la recherche de vulnérabilités dans les VPN et MS Exchange, entre autres.
« Le plus souvent, ils monétisent leur accès, mais leur relation avec le CGRI les rend particulièrement dangereux. Tout accès qu’ils obtiennent pourrait être utilisé à des fins d’espionnage ou de perturbation », a déclaré Hultquist.
“Pour la plupart des gens, cet acteur sera probablement un problème criminel, mais si vous êtes la bonne cible, ils vous livreront pour espionnage ou perturbation”, a-t-il averti.
