APT33 : un collectif de cyberespions identifié par FireEye

APT33

Au cours des dernières semaines, les chercheurs en sécurité de FireEye sont parvenus à identifier un collectif de cyberespions très actif. Selon les enquêtes menées, le groupe APT33 agirait depuis l’Iran et pourrait d’ailleurs être à la solde de l’Etat qui l’héberge.

APT33, un groupe de hackers à l’activité démente

Alors qu’il est fréquent que les experts du cyberespionnage passent à travers les radars, le groupe APT33 a lui été repéré par les équipes de recherche de FireEye. Aussi, ces dernières ont mené une large étude sur l’activité de ce collectif.

Or, il s’avère qu’il est impliqué dans de nombreuses opérations et ce depuis 2013. Entre autres, APT33 aurait ciblé de nombreux acteurs des secteurs de l’aérospatiale et de la pétrochimie et ce aux quatre coins de la planète puisque des entreprises américaines, saoudiennes et même coréennes auraient été clairement visées.

A chaque fois, le collectif de cyberespions a eu recours au même mode opératoire pour mener ses attaques à savoir l’envoi de mails de phishing ciblant des employés. Dans ces derniers, des offres d’emploi correspondant à leur profil et l’utilisation de faux noms de domaine faisant référence à de grandes entreprises du secteur comme Boeing ou Vinnell Arabia.

L’objectif, comme souvent avec les opérations de phishing, était de faire télécharger une pièce jointe aux employés, celle-ci refermant une backdoor installée discrètement sur une machine.

APT33, un collectif à la solde de l’Etat iranien ?

Si les cyberespions parviennent le plus souvent à rester discret quant à leurs activités et surtout quant à leur identité, il semblerait qu’APT33 se soit quelque peu raté sur ces points.

En effet, les équipes de FireEye ont identifié aisément ce groupe grâce à un nom d’utilisateur oublié par inadvertance. Les chercheurs en sécurité ont alors remonté les pistes et deux indices laissent peu de doutes quant au lien des cyberespions avec l’Iran.

D’abord, la majorité du code est rédigé en farsi, la langue principalement parlée en Iran. Ensuite, les heures d’activité du groupe correspondent aux horaires de bureau dans ce même pays.

Reste maintenant à savoir si APT33 agit pour le compte de l’Etat iranien ou non. Une réponse positive semble toutefois probable étant que le pays a formé de nombreux hackers depuis qu’il a été victime du virus Stuxnet qui a mis à mal son industrie nucléaire (voir le documentaire Zero Days).

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*