Image : Avi Richards

Les attaques destructrices qui ont visé le ministère iranien des Transports et le système ferroviaire national ont été coordonnées par un acteur de la menace surnommé Indra, qui déployait auparavant des logiciels malveillants d’essuie-glace sur les réseaux de plusieurs organisations syriennes.

Le mois dernier, les chemins de fer et le ministère des Transports iraniens ont été touchés par une cyberattaque qui a supprimé leurs sites Web et perturbé le service ferroviaire dans tout le pays.

« Les attaques contre l’Iran se sont avérées être tactiquement et techniquement similaires à des activités antérieures contre plusieurs sociétés privées en Syrie qui ont été menées au moins depuis 2019 », ont déclaré les analystes de Check Point Research qui ont établi le lien.

« Nous avons pu lier cette activité à un groupe menaçant qui s’identifie comme un groupe d’opposition au régime, nommé Indra. »

Les attaquants ont déployé un effaceur de fichiers jamais vu auparavant appelé Meteor sur les systèmes des cibles. Ils ont affiché des messages sur les panneaux d’affichage du chemin de fer indiquant que les trains avaient été annulés ou retardés, demandant aux passagers de se rendre au bureau du guide suprême Ali Khamenei pour plus d’informations.

Un groupe d’hacktivistes ou de cybercriminels ciblant des entités affiliées au CGRI

Les essuie-glaces, Nuke-it-From-Orbit-ware comme les appelait Check Point Research, sont conçus pour détruire les données ou les appareils piratés, généralement pour couvrir d’autres attaques se déroulant en même temps.

Indra a développé et déployé au moins trois variantes différentes d’un essuie-glace baptisé Meteor, Stardust et Comet sur les réseaux des victimes au fil des années depuis leur première apparition en 2019.

Malgré cela, le modus operandi du groupe, la qualité de ses outils et sa volonté de revendiquer des attaques sur les réseaux sociaux rendent peu probable qu’Indra soit un acteur menaçant parrainé par un État-nation.

Cependant, comme l’a observé Juan Andres Guerrero-Saade, chercheur en sécurité de SentinelOne, dans un rapport analysant l’attaque iranienne publié il y a deux semaines, l’acteur menaçant a pu rester non détecté pendant la…

Voir la source de cette publication