Rechercher

Le transport maritime israélien ciblé par des pirates informatiques liés à l’Iran

Le commerce maritime israélien est menacé depuis 2020, quand la guerre froide entre Israël et l'Iran a pris place dans les mers, selon la société de sécurité Mandiant

Luke Tress est le vidéojournaliste et spécialiste des technologies du Times of Israël

Illustration : Un expert en cybersécurité se tient devant une carte de l'Iran alors qu'il parle aux journalistes des techniques de piratage iranien, le 20 septembre 2017, à Dubaï, aux Émirats arabes unis. (Crédit: AP/Kamran Jebreili)
Illustration : Un expert en cybersécurité se tient devant une carte de l'Iran alors qu'il parle aux journalistes des techniques de piratage iranien, le 20 septembre 2017, à Dubaï, aux Émirats arabes unis. (Crédit: AP/Kamran Jebreili)

Un groupe de pirates informatiques qui semble être lié à l’Iran a pris pour cible le transport maritime israélien au cours des dernières années, alors que la guerre de l’ombre opposant l’État juif à l’Iran s’est déplacée sur la mer après s’être principalement manifestée sur terre et dans les airs, a fait savoir mercredi une importante firme de cybersécurité américaine.

Le groupe de pirates informatiques s’est concentré sur la collecte de renseignement auprès d’entités israéliennes et il a aussi ciblé des organisations gouvernementales, du secteur de l’énergie et des soins de santé, a fait savoir la firme de cybersécurité Mandiant, dont le siège se trouve en Virginie.

Le groupe de cybersécurité a averti que les renseignements et les données obtenues par les pirates pouvaient être exploités à des fins néfastes et, par exemple, servir pour des fuites d’information ou pour orienter des actions militaires directes. Il est difficile, à ce stade, de dire quelle a été la réelle réussite des hackers dans leurs desseins.

Les pirates ont également pris pour cible certaines entreprises internationales, ce qui signifie que leurs activités sont susceptibles d’aller bien au-delà d’Israël, même si aucun nom de cible n’a été précisé en dehors de celui de l’État juif.

Mandiant dit penser raisonnablement que le groupe est lié à l’Iran et l’entreprise a trouvé certains éléments techniques laissant croire à un lien avec l’Iran, comme, entre autres, l’utilisation du perse – avec notamment l’usage du mot Khoda, qui signifie « Dieu ».

Le groupe semble poursuivre des activités qui viennent soutenir les intérêts et les opérations de la République islamique – avec notamment des activités visant les entreprises de transport qui sont amenées à gérer des composants sensibles. La focalisation sur les cibles israéliennes est similaire à celle qui a pu caractériser d’autres groupes de pirates informatiques iraniens.

« L’industrie du transport et la chaîne globale d’approvisionnement sont particulièrement vulnérables face aux perturbations, et c’est spécialement le cas dans les secteurs où il existe d’ores et déjà un conflit de bas niveau », a commenté dans un communiqué John Hultquist, vice-président du bureau de la cyber-veille au sein de Mandiant.

« Ce qui nous rappelle à tous que les compagnies du monde entier affrontent des menaces globales. Le cyber-conflit de l’Iran avec Israël menace Israël et menace également ceux qui y mènent des activités », a-t-il dit.

Le groupe de pirates est actif depuis au moins la fin de l’année 2020, et il sévissait encore au mois de juin 2022.

Mandiant a donné à ce groupe de pirates le nom de UNC3890, utilisant la désignation « UNC » pour les groupes « non-catégorisés ».

UNC3890 a utilisé des outils de piratage uniques et d’autres qui sont par ailleurs largement mis à la disposition du public, selon Mandiant.

Certains de ces outils ont visé les utilisateurs des fournisseurs de messagerie courriel Gmail, Yahoo et Yandex, et d’autres ont falsifié des sites légitimes tels que Office 365, Facebook et LinkedIn. De fausses offres d’emploi ont pu aussi servir dans le cadre d’une campagne de phishing.

Sur cette photo prise le 15 avril 2020 et mise à disposition par la marine américaine, on voit des navires des Gardiens de la révolution iraniens naviguer à proximité de navires militaires américains dans le golfe Persique, près du Koweït. (Crédit : Marine américaine via AP)

Une autre tactique a consisté à diffuser de fausses publicités pour des
« robots poupées pilotées par l’IA » pour récolter des informations sur leurs victimes. Les poupées semblaient être des poupées sexuelles, le groupe de piratage ayant utilisé le domaine xxx-doll.com, entre autres noms de domaine.

Certaines tactiques n’avaient jamais été utilisées par les groupes iraniens ; l’une des méthodes de l’UNC3890 avait en revanche déjà été utilisée par un groupe à la solde du Corps des gardiens de la révolution islamique. Deux des méthodes semblaient être de nouveaux logiciels malveillants appartenant aux pirates récemment démasqués.

UNC3890 a utilisé des leurres d’ingénierie sociale visant à tromper les gens pour qu’ils pénètrent dans les systèmes qu’ils utilisent habituellement, et pourrait même avoir utilisé la technique dite du point d’eau, qui infecte les sites Internet fréquentés par ses cibles. L’un des points d’eau du groupe était le site Internet d’une compagnie maritime israélienne ayant pignon sur rue, a déclaré Mandiant.

L’Iran et Israël mènent une guerre de l’ombre depuis des années à travers le Moyen-Orient. Israël frappe régulièrement des cibles liées à l’Iran en Syrie afin d’empêcher les livraisons d’armes au groupe terroriste du Hezbollah et pour empêcher l’Iran de s’implanter à la frontière nord d’Israël. L’Iran a accusé Israël d’une série d’attaques contre son programme nucléaire – notamment l’assassinat de scientifiques et de responsables, ainsi que le sabotage d’installations nucléaires.

L’Iran finance plusieurs groupes terroristes anti-Israël – le Jihad islamique palestinien, le Hezbollah et le Hamas – et a ciblé des cibles israéliennes et juives à l’étranger.

Israël et les États-Unis accusent conjointement l’Iran de mener des attaques contre des navires dans la région depuis 2019. Bordant l’Iran, le golfe Persique et le détroit d’Ormuz, qui relie le golfe aux océans internationaux, comptent certaines des voies de navigation les plus importantes au monde. La quantité massive de marchandises qui transite dans la région représente une cible difficile à défendre face à certaines parties – comme l’Iran.

L’année dernière, plusieurs navires liés à Israël ont été attaqués. En février 2021, une explosion a frappé le MV Helios Ray, propriété israélienne, un cargo battant pavillon des Bahamas, dans le golfe d’Oman. Le Premier ministre de l’époque, Benjamin Netanyahu, avait accusé l’Iran d’avoir attaqué le navire. L’Iran a rapidement nié l’accusation, mais les experts ont déclaré que l’attaque avait les caractéristiques des frappes précédentes attribuées à Téhéran.

Toujours en 2021, une attaque de drone a frappé un navire israélien au large des côtes d’Oman, tuant deux membres d’équipage européens. Un autre navire appartenant à des Israéliens a été touché par un missile. L’Iran a été suspecté dans les deux attaques.

Selon des informations étrangères datant d’à peu près la même époque, Israël aurait ciblé au moins 12 navires à destination de la Syrie, la plupart d’entre eux transportant du pétrole iranien, tandis que d’autres attaques auraient visé des cargaisons d’armes. Les attaques n’ont pas coulé les pétroliers, mais ont forcé au moins deux de ces navires à retourner au port en Iran.

Au cours de l’été 2019, alors que les tensions grimpaient entre Washington et Téhéran, l’armée américaine a accusé l’Iran d’avoir explosé deux pétroliers à proximité du détroit d’Ormuz.

L’Iran a également abordé et saisi des navires d’autres pays, dont la Grèce, la Corée du Sud, le Royaume-Uni et le Vietnam.

En savoir plus sur :
C’est vous qui le dites...