Les groupes de hacking liés à l'Iran ont intensifié leurs activités cybernétiques après les récentes attaques de missiles des États-Unis et d'Israël. Ils réalisent des scans numériques, des opérations d'espionnage et des attaques par déni de service distribué (DDoS) à travers le Moyen-Orient.

Les chercheurs indiquent que la plupart des activités confirmées jusqu'à présent ciblaient Israël et les pays du Golfe Persique, mais que les organisations américaines devraient également se préparer à d'éventuelles attaques.

Les hackers iraniens examinent les applications mobiles et les API avant les attaques

Selon la société de sécurité des applications mobiles Approov, les hackers iraniens ont commencé à mener des attaques de découverte plus avancées au début du mois de février. Ces attaques se sont concentrées sur les API et les applications mobiles utilisées dans les communications gouvernementales de la région.

Ces activités semblent avoir cessé le 27 février. Les experts pensent que cette pause pourrait être liée à la coupure d'Internet survenue en Iran au début du conflit.

JP Castellanos, directeur du renseignement sur les menaces chez Binary Defense, a déclaré que les groupes iraniens avaient placé des logiciels malveillants dans les systèmes avant le début des opérations militaires ouvertes. C'est une tactique courante où les attaquants prépositionnent silencieusement des outils pour pouvoir lancer des attaques plus destructrices par la suite.

Les hackers iraniens ont lancé des attaques DDoS, des ransomwares et des campagnes de désinformation

Les chercheurs de Check Point ont observé des violations liées à un groupe connu sous le nom de Cotton Sandstorm (également connu sous le nom de Haywire Kitten). Ce groupe est considéré comme étant lié aux Gardiens de la Révolution islamique d'Iran (IRGC).

Selon le rapport, ce groupe a utilisé un outil de vol d'informations appelé WezRat dans des e-mails de phishing se faisant passer pour des mises à jour logicielles urgentes. Dans certains cas, des attaques par ransomware ont eu lieu après ces campagnes ciblant des objectifs israéliens.

Les analystes ont également remarqué que des identités en ligne précédemment disparues réapparaissaient et affirmaient avoir piraté des systèmes de contrôle industriel en Israël, en Jordanie, en Turquie, en Pologne et dans les pays du Golfe. Les experts affirment que beaucoup de ces allégations publiques sont exagérées ou font partie d'efforts de désinformation plus larges.

« L'Iran a historiquement essayé d'augmenter l'impact psychologique en mélangeant de véritables violations avec des allégations exagérées ou fabriquées », déclare un analyste.

Les organisations américaines pourraient être la prochaine cible

Jusqu'à présent, il n'y a pas eu d'attaque confirmée publiquement contre des organisations américaines durant cette dernière vague d'activités. Cependant, les chercheurs estiment que de telles attaques sont possibles.

Les secteurs les plus à risque sont :

  • Les entrepreneurs en défense et les fournisseurs gouvernementaux
  • Les organisations travaillant avec Israël ou partageant des infrastructures
  • Les fournisseurs d'infrastructures critiques tels que l'énergie ou les services d'eau
  • Les entreprises utilisant des technologies industrielles fabriquées en Israël

Par le passé, les hackers iraniens ont ciblé les systèmes d'eau et d'autres technologies opérationnelles aux États-Unis. Ils ont généralement utilisé des mots de passe par défaut et des logiciels malveillants spécifiques. Bien que ces attaques précédentes aient causé des dommages physiques limités, elles ont montré que les attaquants pouvaient accéder à des systèmes sensibles.

Une campagne cybernétique iranienne de longue date

Les experts notent que la situation actuelle semble être une campagne cybernétique à long terme mêlant espionnage, interruptions, attaques de type ransomware et guerre de l'information.

Ils s'attendent à une augmentation de la désinformation sur les réseaux sociaux à travers des bots. Les gens devraient s'attendre à voir des allégations plus dramatiques concernant le sabotage et les dommages aux infrastructures ; beaucoup d'entre elles ne seront probablement pas vraies.

Les entreprises de sécurité recommandent aux organisations de faire ce qui suit :

  • Mettre à jour rapidement les systèmes critiques
  • Réviser l'accès des utilisateurs et supprimer les comptes inutilisés ou par défaut
  • Surveiller de près les risques liés aux tiers et à la chaîne d'approvisionnement
  • Renforcer la formation à la sensibilisation au phishing pour les employés

Les chercheurs conviennent généralement que les opérations cybernétiques se poursuivront en parallèle avec les conflits physiques. Ils avertissent que les organisations aux États-Unis, en Israël et dans les pays du Golfe doivent évaluer le risque de manière urgente, non théorique, mais réelle.