Recorded Future’s Insikt Group® reviewed available information to analyze the likelihood of Iranian response to the killing of Qassem Suleimani. This report serves to provide a compilation of likely tactics, tools, and groups involved in a cyber-based retaliation.

This report will be of greatest interest to organizations concerned with being targeted by an Iranian state-sponsored group, especially in the wake of heightened tensions in the Persian Gulf, as well as those following Middle Eastern geopolitical events.

Insikt Group fournira des mises à jour dès que de nouvelles informations concernant ces incidents ou les cybermenaces qui y sont liées seront disponibles. Veuillez consulter ces liens pour obtenir des informations supplémentaires sur la manière dont L'Iran gère des cyberopérations dirigées par l'État et sur l'histoire de certains hackers patriotiques soutenus par l'État. Les sources comprennent des renseignements provenant de la plateforme Recorded Future® et d'autres sources ouvertes.

Executive Summary

Aux premières heures du 3 janvier, Qassem Suleimani, chef du Corps des gardiens de la révolution islamique – Force Qods (CGRI-QF) iranien, Abu Mahdi al-Muhandis, chef adjoint des Forces de mobilisation populaire (PMF) irakiennes, et plusieurs autres personnes ont été tués dans une frappe américaine près de l'aéroport international de Bagdad, en Irak. Nous estimons que la mort de Suleimani et d'al-Muhandis, en particulier, est très susceptible de provoquer une réaction de l'Iran et de ses alliés, qui pourrait prendre la forme de mesures de représailles asymétriques menées par les forces militaires iraniennes et leurs milices alliées contre les intérêts des États-Unis, de leurs partenaires gouvernementaux et des entreprises dans la région, au Moyen-Orient.

Key Judgments

• We anticipate a measured but direct response from Iran. We assess this is in part to help insulate the Iranian ruling regime, which is deeply concerned with remaining in power and hesitant to engage the U.S. in a direct military confrontation. Despite our expectation for a measured response from the ruling regime, we believe that Iranian proxies will likely retaliate more aggressively in the region.
• Iran possesses highly capable cyber operational forces, and we believe the most likely targets of cyberattacks remain the United States and partner government, military, and commercial interests within the Middle East.
• Based on our observations of chatter among hacktivist forces (which we define as pro-regime but not government directed), we assess that attacks are likely to escalate against softer targets, such as loosely protected websites, servers, and databases.
• Les cas récents et documentés de groupes soutenus par l'État russe qui ont détourné et utilisé des infrastructures iraniennes à des fins de cyberopérations pourraient accroître l'incertitude et la confusion chez les victimes qui tentent d'attribuer la responsabilité de ces cyberactivités. Il est moins évident aujourd'hui de déterminer si les opérations utilisant des infrastructures cybernétiques iraniennes connues et suivies sont réellement menées et dirigées par le gouvernement iranien. Cela augmente le risque d'attributions erronées et d'escalade injustifiée, car nous ne savons pas dans quelle mesure la Russie a compromis les infrastructures opérationnelles cybernétiques iraniennes.

Background

Tard dans la soirée du 2 janvier 2020, heure de l'Est, la presse a révélé qu'une frappe de missiles américains avait eu lieu près de l'aéroport international de Bagdad, en Irak. L'attaque aérienne a causé la mort de plusieurs personnes, dont Qassem Suleimani, chef du Corps des gardiens de la révolution islamique iranienne – Force Qods (CGRI-QF), et Abu Mahdi al-Muhandis, chef adjoint d'une milice irakienne appelée Forces de mobilisation populaire (PMF). Parmi les personnes qui auraient été tuées figurent plusieurs autres représentants des PMF, dont Mohammed Ridha Jabri, responsable des relations publiques du groupe. Une déclaration dudépartement américain de la Défense, ainsi que des informations publiées par les médias officiels iraniens, ont confirmé la frappe et indiqué que Suleimani était la cible de l'attaque.

Threat Analysis

Insikt Group assesses that the death of Suleimani in particular will likely provoke a response from the Iranian government, including multiple scenarios involving retaliatory asymmetric measures executed by Iranian military assets, proxies, or their allied militias against U.S. government and business interests in the Middle East, as well as U.S. regional partners, such as Saudi Arabia, the United Arab Emirates (UAE), and Israel.

Au moment de la rédaction du présent rapport, Recorded Future a observé une réponse unanime des dirigeants militaires, diplomatiques et politiques iraniens, qui ont tous déclaré qu'une riposte aurait lieu, sans toutefois préciser quand, comment et où elle se produirait. Le 3 janvier 2020, le Guide suprême iranien Ali Khamenei a déclaré qu'une « vengeance sévère » attendait ceux qui avaient mené l'attaque contre Suleimani et a décrété trois jours de deuil national en mémoire du commandant du CGRI-QF. Le 5 janvier, le conseiller militaire du Guide suprême iranien, le général Hossein Dehghan, a déclaré que la réponse de l'Iran serait « sans aucun doute militaire » et dirigée contre des « sites militaires » américains.

Reading the Need to Retaliate

Au cours des dernières années, le général Soleimani aurait bénéficié d' un large soutien populaire, en partie grâce à l'idée qu'il était à l'origine des stratégies qui ont protégé le pays des attaques terroristes et des menaces posées par le groupe État islamique (EI). Plusieurs rapports suggèrent que la mort de Soleimani a suscité un appel distinct à la riposte, ce qui est inhabituel dans l'histoire militaire récente de l'Iran, sauf dans les cas où des actes de violence extrême ont touché le gouvernement ou le personnel militaire iranien. On peut citer comme exemples l'attaque perpétrée par l'EI contre le Parlement iranien en juin 2017 et la décapitation d'un officier du CGRI, Mohsen Hojaji, par l'EI en août 2017. Le premier a conduit à une attaque de missiles balistiques contre l'EI, tandis que l'officier du CGRI Hojaji est devenu un symbole de la lutte contre l'EI. À l'époque, Soleimani, parmi de nombreux hauts responsables du CGRI, avait dirigé la réponse à la mort de Hojaji.

Un exemple historique qui, selon nous, illustre bien l'approche plus calculée que l'Iran est susceptible d'adopter en réponse à la mort de Soleimani est l'assassinat de diplomates iraniens par les talibans afghans en 1998. En 1998, près d'une douzaine de diplomates iraniens ont été tués par les talibans afghans, un incident qui a provoqué un tollé général contre le groupe taliban et la mobilisation d'environ 200 000 militaires iraniens. Une étude menée par la RAND Corporation a mis en évidence un processus décisionnel pragmatique au sein du gouvernement iranien pour faire face à la crise afghane. Malgré les intérêts radicaux de l'IRGC et des fronts politiques radicaux en faveur d'une intervention militaire contre leur ennemi idéologique, le Guide suprême Khamenei a préféré opter pour une réponse « sans risque de guerre ». De même, le 5 janvier 2020, le général Hossein Dehgan, membre du Corps des gardiens de la révolution islamique et conseiller principal de Khamenei, a déclaré que l'Iran réagirait militairement à l'assassinat de Soleimani, mais ne chercherait pas la guerre.

Insikt Group assesses that Iran is likely to pursue a measured asymmetric response, as it balances the need to offset the pressure of Soleimani’s death without further fueling the potential for direct military engagement with the U.S.

Examples of Recent Asymmetric Retaliatory Attacks

Previous suspected retaliatory measures taken by Iran or Iranian-backed forces in the past include but are not limited to:

• Throughout 2019, the IRGC-QF was suspected of being behind the missile strike of Saudi Arabia’s oil facilities in Abqaiq and Khurais, as well as the seizure and commandeering of the Swedish-owned oil tanker Stena Impero.
• L'Iran a été accusé d'utiliser son influence auprès des groupes chiites pour inciter à la rébellion dans des régions connues pour être des terrains propices aux activités sectaires et antigouvernementales, comme Bahreïn. Ce type d'influence a probablement motivé les violentes manifestations qui ont eu lieu à l'ambassade des États-Unis en Irak entre le 31 décembre 2019 et le 2 janvier 2020. Selon certaines informations, ces manifestations auraient été organisées par des partisans de Kata'ib Hezbollah, une milice soutenue par l'Iran et dirigée par al-Muhandis.
• L'Iran a également été accusé de soutenir des actes de sabotage contre les infrastructures pétrolières et gazières de la région. Tout au long de l'année 2019, des rapports ont établi un lien entre l'Iran et des attaques coordonnées avec ses alliés yéménites, les rebelles houthis (Ansar Allah), contre les infrastructures pétrolières et gazières de l'Arabie saoudite. À Bahreïn, l'Iran soutiendrait plusieurs milices chiites et aurait été impliqué dans une attaque très médiatisée contre des infrastructures pétrolières et gazières bahreïniennes en novembre 2017.

Iran has a number of highly capable computer network operations teams that may be involved in a response against the United States, regional partners, and Western interests. Recorded Future believes that previous accesses gained from espionage operations will very likely facilitate these retaliatory actions. Most notably, Iranian teams have used a destructive cyber capability in prior escalations, which we assess demonstrates both a willingness and ability to deploy such malware in similar situations. Iranian actors are also known to favor web shells, password spraying, and a combination of custom and commodity malware to gain access to target environments. Despite the use of destructive malware in previous cyber response scenarios, the death of General Soleimani in a U.S. airstrike is a unique situation and injects significant uncertainty into our assessments regarding which cyber capabilities Iran will likely leverage against which regional U.S. and partner interests.

En juin 2019, Recorded Future a observé une activité malveillante du groupe APT33 visant l'industrie, les infrastructures critiques et les entités gouvernementales américaines. Peu après, le 22 juin, le président américain Donald Trump a déclaré que son administration avait lancé des cyberattaques contre les systèmes de missiles iraniens dans un contexte de tensions accrues dans le golfe Persique. L'Iran a également été accusé d'avoir placé des mines magnétiques sur un pétrolier japonais dans le golfe, ce qui a exacerbé les tensions dans la région. À cette époque, en juin 2019, l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency) avait signalé une augmentation du nombre d'acteurs liés à l'Iran déployant des logiciels malveillants de type « wiper » sur leurs cibles. Cependant, le directeur technique du Centre des opérations de lutte contre les menaces (Threat Operations Center) de la NSA avait déclaré que les acteurs iraniens poursuivaient leurs opérations normales de collecte de renseignements axées sur l'espionnage, et non sur la destruction.

Previous Access and Tools May Tip Cyber Response

Recorded Future anticipates continued targeting of U.S. industry, critical infrastructure, and government entities by Iranian threat actors during this period of heightened tension. Although we assess that Iranian actors will continue to target domestic U.S. government, military, and commercial entities for cyberespionage purposes, organizations in the Persian Gulf region are at the greatest risk for destructive cyberattacks. Further, we judge that Iranian actors APT33, APT34 (also known as OilRig), or MUDDYWATER will also likely target United States allies and partners in the Middle East in cyberespionage operations. We anticipate the continued mixture of custom and commodity tooling, and recommend that organizations monitor for suspicious Powershell and WMIC-based behavior in particular.

• Les acteurs de MUDDYWATER ont utilisé des techniques de spear phishing et des macros à connotation politique, ou des identifiants volés, pour diffuser des logiciels malveillants et dérober des informations. MUDDYWATER s'appuie fortement sur une porte dérobée basée sur Powershell appelée POWERSTATS. MUDDYWATER utilise des domaines tiers compromis qui servent de proxys pour distribuer POWERSTATS et à des fins de commande et de contrôle (C2).
• APT33 is one of the most active groups currently operating in the Middle East and has demonstrated an ability to continually revise its tactics and pursue a variety of tools and techniques to compromise its victims. The actor uses a wide range of tools in its custom malware toolkit, including POWERTON, while also relying heavily on open source remote access trojans (RATs), including njRAT, Powershell Empire, Nanocore, and PupyRAT.
• APT39 a principalement exploité les familles de chevaux de Troie Chafer et Remexi, ciblant les acteurs du secteur des télécommunications, ainsi que l'industrie du voyage et les entreprises informatiques qui la soutiennent. Nous estimons que l'accent mis par le groupe sur les télécommunications et les voyages témoigne d'un intérêt pour la surveillance de personnes spécifiques et la collecte de données exclusives ou de données sur les clients à des fins commerciales ou opérationnelles qui répondent à des besoins stratégiques liés aux priorités nationales. Les chercheurs de FireEye ont remarqué que les opérations d'APT39 sont similaires à celles d'APT34 (OilRig) en termes de cibles au Moyen-Orient, d'infrastructure et de timing. Plus précisément, APT39 et APT34 partagent les mêmes méthodes de distribution de logiciels malveillants, la même nomenclature d'infrastructure et les mêmes cibles.
• Les fuites de Lab Dookhtegan ont révélé les outils personnalisés d'APT34 : PoisonFrog, Glimpse, Hypershell, HighShell, Fox Panel et Webmask. L'implant PoisonFrog est un téléchargeur basé sur Powershell qui installe une porte dérobée VBS. Les évaluations de Chronicle et Palo Alto indiquent que PoisonFrog est la porte dérobée BONDUPDATER, précédemment analysée par FireEye, Booz Allen et l'unité 42 de Palo Alto. Webmask fait probablement partie de la campagne de détournement DNS DNSpionage révélée par Cisco Talos.

We assess that previous credential-gathering activities conducted by APT33, APT34, and APT35 may be used to gain initial access to targeted environments. Notable recent events include:

• En octobre 2019, APT33 aurait manifesté un intérêt particulier pour les fournisseurs de matériel et de logiciels destinés aux systèmes de contrôle industriel (ICS) aux États-Unis et dans le monde entier, menant une campagne ciblée de « password spraying » contre ces organisations. Les acteurs ciblaient généralement entre 50 000 et 70 000 organisations à la fois, sélectionnant un petit nombre d'identifiants pour tenter d'accéder à chacune d'entre elles. L'ampleur de ce ciblage a été considérablement réduite entre octobre et novembre 2019, lorsque l'APT33 aurait ciblé seulement environ 2 000 organisations par mois, en tentant d'utiliser diverses combinaisons de mots de passe sur 18 à 20 comptes dans chaque organisation, soit une augmentation de 900%. Les commandes utilisées dans le password spraying et les activités sur l'hôte sont disponibles sur GitHub.
• De même, FireEye a également découvert que l'APT34 utilisait les familles de logiciels malveillants LONGWATCH, VALUEVAULT et TONEDEAF, conçues pour voler des identifiants, dans le cadre d'une campagne de spear phishing ciblée. Ces familles de logiciels malveillants visaient principalement à collecter les identifiants des personnes ciblées. Les acteurs ont utilisé des messages LinkedIn contenant des liens malveillants pour inciter les victimes à télécharger une fiche technique légitime qui utilisait des macros VBA pour télécharger les familles de logiciels malveillants.
• Les données recueillies par APT35 (Newscaster, PHOSPHORUS) lors de la collecte d'identifiants via des attaques de type « watering hole », des e-mails de phishing et de faux profils sur les réseaux sociaux peuvent également être exploitées. Le 4 octobre 2019, Microsoft a révélé que, pendant 30 jours entre août et septembre 2019, APT35 avait tenté à 2 700 reprises de pirater une campagne présidentielle américaine, identifiée par la suite comme étant celle de Donald Trump, en plus de cibler des responsables actuels et anciens du gouvernement américain, des journalistes politiques et des expatriés iraniens « de premier plan ». Le groupe a ciblé 241 comptes de messagerie électronique et a réussi à compromettre quatre comptes qui n'étaient pas associés à des responsables du gouvernement américain ni à la campagne.
• Les accès antérieurs ou les informations obtenues grâce au détournement du DNS par SeaTurtle et le groupe DNSpionage/APT34 pourraient également faciliter la collecte de renseignements supplémentaires.

Destructive Malware

APT33 and APT34 have been linked to destructive malware attacks against the oil and gas sector, using Shamoon, DEADWOOD, and ZeroCleare.

• During a presentation at the CYBERWARCON conference in Arlington, VA in late 2019, Microsoft analysts discussed APT33 dropping a destructive malware family called DEADWOOD onto a VPN server in Saudi Arabia in June 2019. Recorded Future cannot provide insight into the malware family described by Microsoft. However, on June 22, 2019, a file uploaded to VirusTotal was flagged as being a wiper; it was later flagged by the user “THOR scanner” as a wiper used in the Middle East. It is likely that this file (857ef30bf15ea3da9b94092da78ef0fc) is the wiper in question.
• En 2012, APT33 a déployé le logiciel malveillant destructeur Shamoon et est soupçonné, avec d'autres groupes APT liés à l'Iran, d'avoir participé à l'opération menée en décembre 2018 contre l'entreprise pétrochimique italienne SAIPEM.
• In early December 2019, IBM’s X-Force Incident Response and Intelligence Services (IRIS) published their discovery of the ZeroCleare wiper malware that was observed targeting energy and industrial sectors in the Middle East. According to IBM IRIS, APT34 (OilRig) was likely involved with ZeroCleare’s deployment. During their discovery efforts, IBM IRIS researchers found that ZeroCleare shared characteristics with the Shamoon malware, specifically in that the ZeroCleare malware overwrites the master boot record (MBR) as well as the disk partitions on Windows machines.
• L'analyse d'un échantillon récent se faisant appeler « Dustman » a révélé des similitudes avec ZeroCleare et contenait des messages anti-saoudiens, utilisant le même pilote de disque brut ; cependant, l'échantillon disposait de tous les outils nécessaires regroupés dans un seul fichier exécutable. L'échantillon contenait des messages anti-saoudiens et a supprimé un mutex anti-saoudien (« À bas Bin Salman »).

Nationalistic and Pro-Regime Hacktivism

Nous estimons que le régime iranien prendra probablement le temps de réfléchir à une réponse à l'assassinat du général Suleimani. À l'opposé, les cyberacteurs favorables au régime (mais non dirigés par le gouvernement) continueront probablement à mener des activités perturbatrices. Recorded Future a connaissance d'activités de défiguration menées par des hacktivistes dans les heures qui ont suivi l'annonce de la mort de Suleimani, notamment contre des institutions gouvernementales américaines. En outre, nous avons également observé la diffusion de désinformation parmi les partisans du CGRI. D'après nos observations des discussions entre les groupes hacktivistes, nous estimons que les attaques risquent de s'intensifier contre des cibles plus vulnérables, telles que les sites Web, les serveurs et les bases de données peu protégés.

Il n'est pas impossible que des acteurs déploient le ransomware SamSam ou des campagnes similaires sous le couvert d'activités criminelles. Bien qu'il n'existe aucune preuve permettant de conclure que les deux acteurs étaient affiliés au gouvernement iranien, Téhéran est sans aucun doute au courant de ces opérations et des moyens utilisés.

Outlook

We assess that Iran may exercise a response to the killing of General Qassem Suleimani that will more aggressively rely on cyberattacks rather than kinetic ones, which will likely take the form of espionage or sabotage.

Cette cyber-réponse, probablement l'une des nombreuses contre-mesures asymétriques potentielles, peut être menée directement par les services de renseignement ou des groupes militaires iraniens, par leurs sous-traitants ou par d'autres intermédiaires. Ces mesures seront très probablement alimentées par des accès antérieurs et des informations obtenues lors d'opérations d'espionnage. Il sera probablement difficile d'attribuer ces intrusions et de les distinguer d'autres intrusions opportunistes.

En outre, les cas récemment documentés de groupes soutenus par l'État russe qui ont détourné et utilisé des infrastructures iraniennes pour mener des cyberopérations ont ajouté à l'incertitude qui entoure le suivi et l'attribution des activités d'espionnage ou de destruction menées par l'Iran. Nous estimons que ce détournement d'infrastructure et l'incertitude accrue augmentent le risque qu'un incident soit attribué à tort et interprété à tort comme une escalade. Il existe d'autres parties prenantes au Moyen-Orient que les États-Unis et leurs alliés, d'une part, et l'Iran et ses mandataires, d'autre part. L'injection d'une incertitude supplémentaire par le biais d'opérations russes se faisant passer pour iraniennes pourrait contribuer à créer un climat de chaos ou de confusion à la suite d'une cyberintrusion. Cela augmente le risque d'attributions erronées et d'escalade injustifiée, car nous ne savons pas dans quelle mesure la Russie a compromis les infrastructures opérationnelles cybernétiques iraniennes.

Suggested Mitigations

• APT33 continues to favor dynamic DNS (DDNS) hosting; Recorded Future’s Weaponized Domains Security Control Feed can be used to identify and block these domains.
• Recorded Future proactively detects and logs malicious server configurations in the Command and Control Security Control Feed.
• Recorded Future recommends that organizations monitor for sequential login attempts from the same IP against different accounts. This type of activity is more difficult to detect than traditional brute forcing, but will help insulate organizations from a favored tactic used by APT33.
• The introduction of multi-factor authentication has proven to be a highly effective mitigation practice for many organizations that have historically experienced a high level of credential stuffing and password-spraying attacks.
• Monitor criminal underground communities for the availability of new configuration files targeting your organization, acquire those files, and thoroughly analyze them for additional attack indicators.
• End users can reduce the risk of being victimized by password spraying by using a password manager and setting a unique strong password for each online account.
• Social engineering training for company employees can help mitigate threats posed to the organization by disclosure of information used to conduct password spraying and attacks.
• Log analysis (through an IDS) can aid in the identification of unsuccessful login attempts across multiple user accounts. Cross-referencing log data may help to detect incidents involving high-frequency lockouts, unsanctioned remote access attempts, temporal attack overlaps across multiple user accounts, and fingerprint unique web browser agent information.