Dans une note conjointe, les autorités états-uniennes, australiennes et canadiennes alertent contre les cyberactivités d’acteurs iraniens. Ils les soupçonnent d’être les premiers maillons d’une chaîne de cyberdélinquance, attaquant par force brute des infrastructures critiques pour ensuite revendre les accès et les informations obtenus à d’autres acteurs malveillants. 


Le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA), le Communications Security Establishment Canada (CSE), la police fédérale australienne et l’Australian Signals Directorate’s Australien Cyber Security Centre (ASD’s ACSC) signent ensemble ce document détaillant le modus operandi des attaquants et proposent plusieurs pistes d’atténuation du risque.

Activités iraniennes intenses contre les États-Unis

Depuis octobre 2023, rappellent les autorités des États, différentes attaques commises par des acteurs iraniens ont été repérées, notamment contre les réseaux d’entités gouvernementales, du secteur de la santé, de l’information, de l’ingénierie ou de l’énergie.

Aux États-Unis, certains acteurs ont par exemple tenté d’interférer dans la campagne pour la présidentielle 2024 en envoyant aux équipes de Joe Biden, avant qu’il renonce à se présenter, des informations volées à celles de Donald Trump. D’autres se sont attaqués aux systèmes de contrôle industriel (ICS) de plusieurs compagnies des eaux du pays (ainsi qu’en Irlande, où 180 personnes se sont retrouvées privées d’eau pendant deux jours).

Password spraying et bombardement MFA

En pratique, ces acteurs recourent à différentes techniques, dont de la pulvérisation de mots de passe (password spraying, le fait d’utiliser un même mot de passe pour tenter d’accéder à de multiples comptes), et du bombardement d’authentification multi-facteurs (MFA bombing, ou MFA fatigue attack : le fait d’initier une authentification multi-facteurs à de multiples reprises en espérant que l’utilisateur visé, lassé, accepte au moins l’une des requêtes).

Leur but initial, selon les autorités des trois États : obtenir des identifiants Microsoft 365 ou Citrix. Une fois ces accès acquis, les attaquants ont souvent mis en place l’authentification multi-facteurs sur leurs propres appareils pour sécuriser leurs accès via un compte légitime.

À partir de là, les cyberattaquants sont suspectés de réunir autant d’informations que possible sur les systèmes attaqués et/ou de viser à améliorer leurs accès. Certains ont par exemple utilisé l’authentification Kerberos avec le nom du principal du service (SPN) pour obtenir des tickets Kerberos, ce qui peut aboutir à l’exposition d’identifiants en clair. L’un des attaquants a aussi tenté d’usurper l’identité du contrôleur de domaine, qui contrôle les utilisateurs d’un réseau informatique et répond aux demandes d’authentification.

Dans plusieurs occurrences, les attaquants ont récupéré des informations relatives à l’accès à distance à l’entité visée, et à son organisation. Les autorités signataires estiment que ces informations servent soit à être revendues ailleurs, soit à sécuriser la présence des acteurs malveillants dans les réseaux concernés.

Mesures d'atténuation

Pour détecter de potentielles attaques, elles recommandent de vérifier les journaux d’authentification à la recherche d’échecs de connexion au système et de multiples tentatives d’authentification infructueuses ; de chercher l’usage d’une seule adresse IP pour de multiples comptes (hors cas prévus) ; ou encore de chercher les « voyages impossibles », c’est-à-dire les cas où un utilisateur se connecterait depuis plusieurs adresses IP à des distances géographiques trop éloignées pour qu’il soit réaliste de s’y déplacer dans le temps séparant les deux connexions (avec le risque que l’usage de VPN génère de faux positifs).

Elles fournissent aussi une variété de mesures d’atténuation spécifiquement liées aux tactiques, techniques et procédures (TTP) des activités malveillantes concernées, accessible dans leur note.