La récente vague de cyberattaques ciblant des organisations albanaises impliquait l’utilisation d’un essuie-glace appelé Pas de justice.
Le résultats proviennent de la société de cybersécurité ClearSky, qui a déclaré que le malware basé sur Windows « fait planter le système d’exploitation de manière à ce qu’il ne puisse pas être redémarré ».
Les intrusions ont été attribuées à un « groupe d’opérations psychologiques » iranien appelé Homeland Justice, qui opère depuis juillet 2022, orchestrant spécifiquement des attaques destructrices contre l’Albanie.
Le 24 décembre 2023, l’adversaire a refait surface après une interruption, déclarant qu’il était « de retour pour détruire les partisans des terroristes », qualifiant sa dernière campagne de #DestroyDurresMilitaryCamp. La ville albanaise de Durrës héberge actuellement le groupe dissident Organisation des Moudjahidine du peuple d’Iran (MEK).
Les cibles de l’attaque comprenaient ONE Albanie, Eagle Mobile Albanie, Air Albanie et le parlement albanais.
Deux des principaux outils déployés au cours de la campagne incluent un essuie-glace exécutable et un script PowerShell conçu pour propager le premier à d’autres machines du réseau cible après avoir activé la gestion à distance de Windows (WinRM).
Le Essuie-glace sans justice (NACL.exe) est un binaire de 220,34 Ko qui nécessite des privilèges d’administrateur pour effacer les données de l’ordinateur.
Ceci est accompli en supprimant la signature de démarrage du Master Boot Record (MBR), qui fait référence au premier secteur de tout disque dur qui identifie l’emplacement du système d’exploitation sur le disque afin qu’il puisse être chargé dans la RAM d’un ordinateur.
Des outils légitimes tels que Plink (alias PuTTY Link), RevSocks et le kit de ressources Windows 2000 ont également été fournis au cours de l’attaque pour faciliter la reconnaissance, les mouvements latéraux et l’accès à distance persistant.
Cette évolution intervient alors que des acteurs menaçants pro-iraniens tels que Cyber Av3ngers, Cyber Toufan, Haghjoyanet l’équipe YareGomnam se tournent de plus en plus vers Israël et les États-Unis dans un contexte de tensions géopolitiques persistantes au Moyen-Orient.
« Des groupes tels que Cyber Av3ngers et Cyber Toufan semblent adopter un discours de représailles dans leurs cyberattaques », Check Point divulgué le mois dernier.
« En ciblant de manière opportuniste des entités américaines utilisant la technologie israélienne, ces mandataires hacktivistes tentent de mettre en place une double stratégie de représailles – prétendant cibler à la fois Israël et les États-Unis dans une seule cyber-attaque orchestrée. »
Cyber Toufan, en particulier, a été lié à un déluge d’opérations de piratage et de fuite ciblant plus de 100 organisations, effaçant les hôtes infectés et libérant les données volées sur leurs ordinateurs. Chaîne de télégramme.
« Ils ont causé tellement de dégâts que de nombreuses organisations – près d’un tiers en fait, n’ont pas pu s’en remettre », a déclaré le chercheur en sécurité Kevin Beaumont. dit. « Certaines d’entre elles sont toujours totalement hors ligne plus d’un mois plus tard, et les victimes effacées sont un mélange d’entreprises privées et d’entités gouvernementales israéliennes. »
Le mois dernier, la Direction nationale israélienne de la cybersécurité (INCD) dit il suit actuellement environ 15 groupes de pirates informatiques associés à l’Iran, au Hamas et au Hezbollah qui opèrent de manière malveillante dans le cyberespace israélien depuis le début de la guerre Israël-Hamas en octobre 2023.
L’agence a en outre noté que les techniques et tactiques employées partagent des similitudes avec celles utilisées lors de la guerre entre l’Ukraine et la Russie, tirant parti de la guerre psychologique et des logiciels malveillants d’effacement pour détruire les informations.