Rechercher

D’après Google, l’Iran soutiendrait des tentatives de piratage informatique

Les Gardiens de la révolution iranienne auraient tenté de pirater la campagne électorale américaine de 2020, et d'introduire un logiciel malveillant sur son Play Store

Illustration : Un homme tapant sur un clavier d'ordinateur, le 24 janvier 2017. (Crédit : Flash90)
Illustration : Un homme tapant sur un clavier d'ordinateur, le 24 janvier 2017. (Crédit : Flash90)

Google a mis en garde vendredi contre une recrudescence des piratages informatiques soutenus par des États, avec un rapport mettant l’accent sur les « campagnes notables » d’un groupe lié au Corps des Gardiens de la révolution d’Iran.

Le géant des moteurs de recherche est la deuxième entreprise technologique en moins d’une semaine à lancer une mise en garde contre les pirates informatiques iraniens, quelques jours après que Microsoft a déclaré qu’un groupe s’en prenait aux technologies de défense israéliennes et américaines, et a également averti que l’Iran avait multiplié par quatre ses piratages contre Israël au cours de l’année écoulée.

Vendredi, Google a indiqué dans un post de blog qu’un groupe de pirates iraniens connu sous le nom d’APT35, ou « Charming Kitten », menait des attaques de logiciels malveillants et d’hameçonnage dans lesquelles la cible était incitée à installer un logiciel ou à communiquer des informations personnelles.

Le Corps des gardiens de la révolution iranienne a été créé après la révolution islamique de 1979 et dispose d’un vaste appareil de renseignement ainsi que de forces.

« C’est l’un des groupes que nous avons perturbé pendant le cycle électoral américain de 2020 pour avoir ciblé des membres du personnel de campagne », a écrit Ajax Bash, membre de l’équipe d’analyse des menaces chez Google. « Pendant des années, ce groupe a détourné des comptes, déployé des logiciels malveillants et utilisé des techniques inédites pour mener un espionnage aligné sur les intérêts du gouvernement iranien. »

Le post prévenait qu’APT35 ciblait des comptes dans le gouvernement, le milieu universitaire, le journalisme, les ONG, la politique étrangère et la sécurité nationale, et qu’il était actif depuis 2017.

Une femme passe devant un bâtiment Google sur le campus de Mountain View, en Californie, le 24 septembre 2019. (Crédit : AP Photo/Jeff Chiu, File)

La société a déclaré qu’APT35 a utilisé le site Web compromis d’une université britannique non nommée pour mener une attaque de phishing en demandant aux personnes de confirmer leurs informations d’identification et de sécurité.

En outre, les pirates ont utilisé des emails de phishing sur le thème de la conférence pour tenter d’inciter les utilisateurs à cliquer sur des liens compromis.

« Les attaquants ont utilisé les conférences Munich Security et Think-20 (T20) Italy comme appâts dans des messages électroniques de premier contact non malveillants pour inciter les utilisateurs à répondre. Lorsqu’ils le faisaient, les attaquants leur envoyaient des liens d’hameçonnage dans la correspondance suivante », a déclaré le géant des moteurs de recherche.

Selon Google, les pirates ont également commencé à utiliser la fonction sendMessage de l’API Telegram de l’application cryptée pour recueillir des informations sur les visiteurs involontaires de leurs sites de phishing.

Dans un autre cas, Google a déclaré qu’APT35 a tenté de télécharger une application malveillante sur la boutique Google Play.

Le géant de la technologie a déclaré que « l’application était déguisée en logiciel VPN qui, s’il était installé, pouvait voler des informations sensibles telles que les journaux d’appels, les messages texte, les contacts et les données de localisation des appareils ».

La firme a déclaré que l’application a été découverte et supprimée du Play Store avant qu’elle ne soit téléchargée et installée par un quelconque utilisateur.

Des troupes des Gardiens de la révolution participent à un défilé militaire marquant le 39e anniversaire du début de la guerre Iran-Irak, devant le sanctuaire du défunt fondateur de la révolution, l’ayatollah Khomeini, juste à l’extérieur de Téhéran, en Iran, le 22 septembre 2019. (Bureau de la présidence iranienne via AP)

Google a déclaré qu’en 2021 jusqu’à présent, il avait averti plus de 50 000 titulaires de comptes qu’ils pouvaient avoir été ciblés par des tentatives de piratage soutenues par l’État en utilisant l’hameçonnage ou des logiciels malveillants.

« Nous envoyons intentionnellement ces avertissements par lots à tous les utilisateurs qui peuvent être à risque, plutôt qu’au moment où nous détectons la menace elle-même, afin que les attaquants ne puissent pas suivre nos stratégies de défense », a expliqué Google.

Au total, Google a déclaré que le nombre de tentatives de piratage en 2021 avait augmenté d’un tiers par rapport à la même période, cette augmentation étant attribuée à une « campagne d’une ampleur inhabituelle » menée par le groupe russe APT28, également connu sous le nom de « Fancy Bear ».

Lundi, Microsoft a déclaré avoir identifié un groupe de pirates iraniens ciblant des entreprises israéliennes et américaines de technologie de défense utilisant les produits du géant technologique, ainsi que des entreprises gérant le transport maritime au Moyen-Orient.

Cette déclaration intervient alors qu’Israël et l’Iran s’accusent mutuellement d’attaques contre des navires au Moyen-Orient et que des rapports font état d’efforts croissants de Téhéran pour venger la mort de son principal scientifique nucléaire, Mohsen Fakhrizadeh, tué l’année dernière.

Dans un post de blog, Microsoft a déclaré avoir identifié pour la première fois la cellule de piratage – surnommée DEV-0343 – en juillet.

L’entreprise a déclaré que les pirates ont effectué « une pulvérisation extensive de mots de passe contre plus de 250 locataires d’Office 365, en se concentrant sur les entreprises américaines et israéliennes de technologie de défense, les ports d’entrée du golfe Persique ou les entreprises mondiales de transport maritime ayant une présence commerciale au Moyen-Orient. »

Parmi les cibles ont figuré « des entreprises de défense qui soutiennent les partenaires gouvernementaux des États-Unis, de l’Union européenne et d’Israël produisant des radars de qualité militaire, des technologies de drones, des systèmes satellitaires et des systèmes de communication d’intervention d’urgence. »

« Cette activité soutient vraisemblablement les intérêts nationaux de la République islamique d’Iran, d’après l’analyse du modèle de vie, les nombreux croisements dans le ciblage géographique et sectoriel avec des acteurs iraniens, et l’alignement des techniques et des cibles avec un autre acteur originaire d’Iran », indique le communiqué.

Photo d’illustration : des gens passent devant un bureau de Microsoft à New York, le 10 novembre 2016. (Crédit : AP Photo/Swayne B. Hall)

Microsoft a déclaré que les efforts de piratage pourraient aider l’Iran à suivre « les services de sécurité adverses et la navigation maritime au Moyen-Orient ».

De nombreuses cyberattaques iraniennes présumées contre Israël ont été signalées ces dernières années, dont une qui a ciblé son infrastructure hydraulique en 2020. La plus récente a été signalée la semaine dernière.

Microsoft a déclaré dimanche que l’Iran avait multiplié par quatre ses piratages sur Israël au cours de l’année écoulée.

« Microsoft a détecté une attention accrue de la part d’un nombre croissant de groupes iraniens ciblant des entités israéliennes… et cette attention s’est accompagnée d’une série d’attaques par ransomware », indique le rapport annuel de la société sur la défense numérique.

Israël et l’Iran se livrent depuis des années à une guerre de l’ombre, Israël consacrant la plupart de ses efforts – y compris de multiples cyberattaques présumées – au sabotage du programme nucléaire de la République islamique.

En savoir plus sur :
C’est vous qui le dites...