Les Iraniens ont attaqué des entreprises israéliennes avec demande de rançon
ClearSky et Profero disent avoir déjoué des tentatives de piratage de contractants de l'IRGC, et que des piratages passés inaperçus auraient pu viser l'État juif
Des pirates informatiques iraniens sous contrat avec le Corps des Gardiens de la révolution islamique [IRGC], ont ciblé d’importantes entreprises israéliennes dans une série d’attaques avec demande de rançon le mois dernier, ont rapporté jeudi deux sociétés de cybersécurité.
Les attaques ont été attribuées à « MuddyWater », que Microsoft a démasqué au début du mois en tant que contractant de l’IRGC – désigné par Israël et les États-Unis comme un groupe terroriste.
Surnommant l’effort iranien « Opération Sable mouvant », les sociétés de cybersécurité Clearsky et Profero ont déclaré avoir « découvert le premier cas connu d’une attaque potentiellement destructrice exécutée par MuddyWater, visant des organisations importantes en Israël et dans d’autres pays du monde ».
Les entreprises ont déclaré qu’elles avaient identifié et déjoué les attaques avant qu’elles ne causent des dommages, mais elles ont maintenant tiré la sonnette d’alarme quant aux méthodes utilisées, indiquant qu’elles auraient pu être utilisées dans des attaques de piratage antérieures qui auraient pu passer inaperçues.
Les noms des entreprises israéliennes ciblées dans les attaques par rançon n’ont pas été cités dans le rapport, manifestement pour des raisons de sécurité.
Deux méthodes principales de piratage ont été identifiées par les sociétés de cybersécurité.
Dans le premier cas, MuddyWater aurait envoyé des e-mails de phishing avec des fichiers Excel ou PDF malveillants en pièce jointe. Une fois ouverts, les documents téléchargeaient une variante du logiciel Thanos sur l’ordinateur de l’entreprise visée.
Dans la seconde méthode, MuddyWater aurait téléchargé le logiciel de rançon Thanos après avoir détecté une vulnérabilité dans le service Microsoft Exchange connu sous le nom de CVE-2020-0688.
Les attaques ont été identifiées par un code répétitif contenant le mot « Covic », qui, selon leur rapport, « pourrait indiquer une inspiration COVID-19 et indique éventuellement les dates auxquelles MuddyWater aurait développé le malware ».
Le chercheur de ClearSky, Ohad Zaidenberg, a déclaré au site de technologie commerciale ZDNet qu’il pense que les tentatives d’attaques de MuddyWater pourraient également être liées à l’escalade des tensions entre Israël et l’Iran, qui ont inclus de récentes cyber-attaques de type « coup pour coup ».
En mai dernier, de nombreux sites web israéliens ont été la cible d’une cyber-attaque. On estime que des centaines de sites web ont été touchés, dont certains appartenant à de grandes entreprises, des groupes politiques et d’autres organisations et individus.
Les responsables iraniens ont déclaré vendredi que l’Autorité portuaire du pays avait été touchée par une cyber-attaque cette semaine, un jour après avoir vaguement confirmé que deux départements gouvernementaux avaient été attaqués.
L’attaque visait l’infrastructure électronique des ports du pays afin de perturber le flux de marchandises entrant et sortant du pays, mais n’a pas réussi à affecter le processus, ont déclaré les responsables.
L’autorité a déclaré que l’attaque avait été perpétrée par des « ennemis jurés » qui « n’ont pas atteint leurs objectifs » de frapper l’économie iranienne par des sanctions – une référence apparente aux Etats-Unis.
Elle a indiqué que des « mesures appropriées » avaient été prises en réponse, sans donner de précisions.
On ne sait pas très bien quelle autre agence gouvernementale a été touchée.
L’Iran dit parfois qu’il déjoue des cyber-attaques contre ses infrastructures, bien qu’il ait déconnecté une grande partie de ses infrastructures d’Internet après que le virus informatique Stuxnet, largement considéré comme une création conjointe des États-Unis et d’Israël, ait perturbé des milliers de centrifugeuses iraniennes dans les sites nucléaires du pays à la fin des années 2000.
Une cyber-attaque majeure en mai dans le port iranien de Bandar Abbas a été imputée à Israël, qui a longtemps accusé l’Iran d’utiliser le port à des fins militaires pour apporter son aide à des terroristes ailleurs au Moyen-Orient, notamment au Hamas et au Hezbollah, tandis que l’armée israélienne interceptait une partie des cargaisons.
L’attaque de mai attribuée à Israël était apparemment en réponse à une prétendue tentative iranienne de pirater le système d’infrastructure d’eau d’Israël. Selon un rapport du New York Times de mai, le port a été spécifiquement choisi comme cible non centrale dans le but d’envoyer un message plutôt que d’infliger des dommages réels.
Les sociétés et agences de sécurité israéliennes se seraient préparées à une éventuelle cyberattaque iranienne ou liée à l’Iran en réponse à l’attaque du port.
Il y a eu une série d’explosions mystérieuses sur des sites stratégiques iraniens au cours de l’été, qui ont été largement attribuées à Washington ou à Jérusalem, ou aux deux.
L’année dernière, des responsables de Washington ont déclaré que les cyberforces militaires américaines avaient lancé une attaque contre les systèmes informatiques militaires iraniens, le président américain Donald Trump ayant renoncé aux plans d’une attaque militaire plus conventionnelle en réponse à l’abattage par l’Iran d’un drone de surveillance américain dans la zone stratégique du Golfe persique.
La plus importante semble avoir été une explosion en juillet sur le site nucléaire de Natanz, très probablement causée par une bombe placée dans l’installation, potentiellement sur une ligne de gaz stratégique, mais un rapport du New York Times n’a pas exclu la possibilité qu’une cyber-attaque ait été utilisée pour provoquer un dysfonctionnement qui a conduit à l’explosion.
En décembre, l’Iran a déclaré avoir mis fin à une cyber-attaque massive sur une « infrastructure électronique » non spécifiée, mais n’a fourni aucun détail sur cette prétendue attaque.
Les tensions se sont intensifiées entre les États-Unis et l’Iran depuis que Trump, en 2018, a retiré l’Amérique de l’accord nucléaire iranien avec les puissances mondiales et a commencé une politique de « pression maximale » sur Téhéran.
La tension a encore augmenté après qu’une attaque aérienne américaine a tué un général iranien de haut rang à l’aéroport de Bagdad en janvier. L’Iran a riposté par une frappe de missiles balistiques sur les bases irakiennes abritant des troupes américaines, blessant des dizaines de soldats américains.