Chafer : un groupe de cyber attaquants basé en Iran

Un groupe de pirates informatiques, baptisé Chafer s’attaquerait aux entreprises du monde entier. Des amateurs du blackmarket qui officieraient d’Iran.

Chafer, un groupe de pirates informatiques qu’il est possible de croiser, sans grande difficulté, sur plusieurs forums Iraniens dédiés au piratage informatique. L’éditeur de solutions de sécurité informatique américain Symantec a publié une analyse sur leurs activités. Chafer est actif depuis au moins juillet 2014. La plupart des attaques du groupe visent à collecter des informations, à la revendre, à infiltrer pour encore mieux collecter. L’analyse explique que neuf nouvelles organisations ont été touchées au Moyen-Orient. Chafer a ciblé plusieurs organisations au Moyen-Orient (Israël, Jordanie, Emirats Arabes Unis, Arabie Saoudite et Turquie) y compris un important fournisseur de services télécoms dans la région.

En dehors du Moyen-Orient, des preuves d’attaques contre une compagnie aérienne africaine et des tentatives de cyber attaque envers une entreprise internationale dans le secteur du voyage. Une nouvelle méthode d’infection est utilisée par Chafer. Nouvelle méthode, mais qui n’a rien de révolutionnaire. Ils utilisent des documents Excel malveillants diffusés par le biais de mails ciblés (spear phishing).

Le courriel proposant le document Excel piégé permet d’installer un cheval de Troie destiné à dérober des informations et un outil qui pratique des captures d’écrans. Les activités récentes de Chafer indiquent une plus grande dépendance aux nouveaux outils logiciels gratuits, notamment Remcom, un NSSM, un outil de capture d’écran et de presse-papiers, des outils HTTP, GNU HTTPTunnel, UltraVNC et NBTScan . Chafer se dirige vers des attaques ciblant la supply chain, compromettant les organisations au travers de canaux de confiance dans le but d’attaquer ensuite leurs clients.

Le phishing, en tête de pont

Selon un nouveau rapport publié par F-Secure, plus d’un tiers des incidents de cyber sécurité viennent de phishing. Ce nouveau rapport présente les conclusions des enquêtes sur les interventions menées suite à un cyber incident et offre un aperçu des véritables modes opératoires des pirates informatiques.

21 % des cyber incidents analysés par F-Secure dans ce rapport font suite à des attaques ciblant les services web utilisés par les entreprises. Il s’agit du mode d’attaque le plus fréquemment utilisé par les pirates mettre la main sur les données d’une organisation. Toutefois, le phishing et les pièces jointes malveillantes totalisaient, ensemble, environ 34 % des attaques. Pour Tom Van de Wiele, Principal Security Consultant chez F-Secure, les attaques par e-mail constituent donc le plus gros danger pour les organisations. «L’exploitation des vulnérabilités logicielles est typique des attaques opportunistes mais les intrusions informatiques via e-mail sont bien plus fréquentes. Les pirates disposent de tout un éventail d’attaques par e-mail. Elles remportent un franc succès, puisque la plupart des entreprises utilisent les e-mails pour leurs communications », explique Tom Van de Wiele. « Il convient de toujours réfléchir à deux fois avant de cliquer sur une pièce jointe ou sur un lien… mais la pression professionnelle l’emporte souvent sur le bon sens. Les pirates comprennent et exploitent cette logique. »