Des pirates informatiques soutenus par le régime iranien ont fait irruption dans le réseau d’une agence du gouvernement fédéral américain et ont utilisé cet accès pour installer un logiciel d’extraction de crypto-monnaie, a déclaré mercredi la Cybersecurity and Infrastructure Security Agency (CISA).
Les responsables ont remarqué pour la première fois des preuves d’une activité de menace persistante avancée (APT) sur le réseau de l’agence en avril de cette année et ont déterminé qu’elle avait été compromise depuis au moins février.
Les pirates ont exploité une vulnérabilité pour installer le logiciel de crypto-minage XMRig et compromettre les informations d’identification sur le réseau.
La CISA n’a pas identifié l’agence compromise, mais a déclaré qu’elle publiait l’alerte pour « aider les défenseurs du réseau à détecter et à se protéger contre les compromissions associées ».
Les pirates soutenus par l’Iran ont utilisé la vulnérabilité Log4Shell dans un serveur VMware Horizon non corrigé, qui a été identifié pour la première fois en décembre dernier.
« La CISA et le FBI encouragent toutes les organisations ayant des systèmes VMware concernés qui n’ont pas immédiatement appliqué les correctifs ou les solutions de contournement disponibles à assumer un compromis et à lancer des activités de chasse aux menaces », a déclaré la CISA mercredi.
Selon la CISA, le Corps des gardiens de la révolution islamique d’Iran fait fréquemment appel à des sous-traitants du secteur privé du pays pour orchestrer des cyberattaques parrainées par l’État.
On ne sait pas si les pirates ont installé un logiciel d’extraction de crypto-monnaie pour s’enrichir ou à la demande du régime iranien, qui s’est de plus en plus tourné vers la crypto pour échapper aux sanctions ces dernières années.
Source:
- https://www.foxbusiness.com/
- https://unsplash.com/Istock