Le Centre de la sécurité des télécommunications Canada (CST) et son Centre canadien pour la cybersécurité (Centre pour la cybersécurité) s’unissent aux partenaires suivants pour mettre en garde les lectrices et lecteurs contre l’utilisation fréquente de la force brute par des auteures ou auteurs de cyber menace iraniens dans le but de compromettre des organisations au sein de multiples secteurs d’infrastructures essentielles :
- le Federal Bureau of Investigation (FBI);
- la Cybersecurity and Infrastructure Security Agency (CISA);
- la National Security Agency (NSA);
- la Australian Federal Police (AFP);
- la l'Australian Cyber Security Centre (ASD) de l'Australian Signals Directorate (ACSC);
Les cibles comprennent des organisations dans les secteurs des soins de santé, du gouvernement, des technologies de l’information, de l’ingénierie et de l’énergie. Les auteures ou auteurs de cyber menace iraniens visent probablement à obtenir des justificatifs d’identité et de l’information décrivant le réseau de la victime pour ensuite les vendre à des cybercriminelles ou cybercriminels aux fins d’accès.
Depuis octobre 2023, des auteures ou auteurs de menace iraniens ont recours à la force brute, notamment la rafale de mots de passe et le bombardement de l’authentification multifacteur (AMF) au moyen de notifications poussées, pour compromettre des comptes utilisateur et obtenir un accès à des organisations. Les auteures ou auteurs de menace modifient fréquemment les enregistrements AMF pour établir un accès persistant. Ils mènent des activités de découverte sur les réseaux compromis pour obtenir des justificatifs d’identité additionnels et cerner d’autres informations qui pourraient être utilisées à titre de points d’accès supplémentaires.
Le bulletin conjoint fournit les tactiques, techniques et procédures des auteures ou auteurs de menace, de même que les indicateurs de compromission. Les organisations des infrastructures essentielles devraient suivre les conseils énoncés dans le bulletin. À tout le moins, les organisations devraient s’assurer que des mots de passe robustes et une deuxième forme d’authentification sont utilisés pour tous les comptes.
Veuillez consulter l’intégralité du bulletin de cybersécurité conjoint Iranian Cyber Actors’ Brute Force and Credential Access Activity Compromises Critical Infrastructure (en anglais seulement).