Les tensions entre les Etats-Unis et l'Iran dans le détroit d'Ormuz se sont apaisées mais sur le "web" il semble que les Iraniens poursuivent leur activité contre des cibles américaines aux Etats-Unis et ailleurs.
Mercredi matin, le Cyber Command américain a tweeté qu'il avait découvert une «utilisation malveillante active» d'un bogue connu dans Microsoft Outlook, «CVE-2017-11774». USCYBERCOM a découvert le CVE-2017-11774 et recommandé #patching immédiat.
Le malware est actuellement distribué par: '' hxxps: //customermgmt.net/page/macrocosm '#cybersecurity #infosec
Dans leur tweet, Cyber Command ne révèle pas qui utilise le bogue pour lancer des attaques. Mais la société de cybersécurité FireEye a rapporté qu'un certain nombre de pirates iraniens sont occupés à exploiter cette vulnérabilité.
"L'utilisation du bogue CVE-2017-11774 continue de semer la confusion chez de nombreux professionnels de la sécurité«, A écrit la société dans un communiqué envoyé aux journalistes mercredi. "Si Outlook lance quelque chose de malveillant, une hypothèse courante est que l'utilisateur concerné a été hameçonné, ce qui n'est pas ce qui se passe ici. L'organisation de cybersécurité peut perdre un temps précieux à rechercher le problème sans se concentrer sur la cause profonde ".
Dans un post de décembre dernier, FireEye rapporte l'activité d'un groupe de hackers nommé APT33, probablement activé "par le gouvernement iranien". Dans une mise à jour de juin, la société a déclaré avoir trouvé que les mêmes personnages étaient très actifs. APT33 a lancé une nouvelle campagne contre les États-Unis et en particulier contre les agences gouvernementales fédérales, les secteurs financiers, les médias et l'éducation.
Cette mise à jour coïncide avec un avis du 22 juin de la Cybersecurity and Infrastructure Security Agency, ou CISA, qui a émis un "avertissement" concernant une "augmentation récente de l'activité cybercriminelle dirigée contre les industries et les agences gouvernementales américaines par des acteurs délégués du régime iranien ".
Les nouvelles attaques sont très destructrices, appelées «attaques par essuyage» et que les responsables «essaient de faire beaucoup plus que voler des données et de l'argent. Les tactiques utilisées sont courantes, telles que le spear phishing, la pulvérisation de mots de passe et le remplissage des informations d'identification. La tromperie est que vous pensez que vous ne perdez que les données de votre compte, au lieu de cela vous risquez de perdre tout le réseau de serveurs ».
Lors du One Tech Summit de la semaine dernière, Ed Wilson, sous-secrétaire adjoint à la défense pour la cyberpolitique, a décrit la récente escalade de l'activité criminelle offensive iranienne comme une "escalade horizontale»Ce qui indique une augmentation du volume d'activité, plutôt qu'un changement soudain des types de tactiques utilisées. "Je pense que nous pensons souvent que l'escalade est de nature verticale", a-t-il déclaré.
Cette déclaration fait suite à un commentaire du CHOD américain, le général Joe Dunford en mai dernier, qui a également parlé d'une activité iranienne accrue.
Le New York Times rapporte que les États-Unis, en réponse, ont intensifié les cyberopérations contre les groupes de renseignement iraniens impliqués dans la planification de l'attaque contre divers pétroliers étrangers.