Les attaques militaires américano-israéliennes contre l’Iran ont provoqué une accalmie dans la cyberactivité, mais les groupes iraniens se tourneront à un moment donné vers des attaques destructrices, préviennent les experts.
Cinq jours après le début de la guerre entre les États-Unis et Israël contre l’Iran, les pires prévisions de cyber-représailles ne se sont pas encore concrétisées. Mais l’Iran a mis en place l’une des cyberopérations les plus actives au monde, ce qui signifie qu’il s’agit probablement d’un sursis temporaire, préviennent les experts.
Ce week-end, le National Cyber Security Centre (NCSC) du Royaume-Uni et le Centre canadien pour la cybersécurité (CCCS) ont émis des avertissements généraux sur la menace posée par les cyber-campagnes iraniennes. De son côté, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) n’a pas encore mis à jour son dernier avertissement, datant d’octobre.
« Il existe presque certainement un risque accru de cybermenace indirecte pour les organisations et entités qui ont une présence ou des chaînes d’approvisionnement au Moyen-Orient », a déclaré le NCSC, affirmant une évidence.
Le CCCS du Canada était au moins disposé à exposer certaines des possibilités : « L’Iran utilisera très probablement son cyberprogramme pour répondre aux opérations de combat conjointes des États-Unis et d’Israël contre l’Iran », a-t-il déclaré. L’agence a exhorté les organisations à regarder au-delà du bruit de fond des attaques DDoS opportunistes et d’autres cyberactivités de faible niveau pour détecter des menaces plus sinistres telles que les ransomwares et les attaques destructrices par wiper.
La nature générale des avertissements souligne le problème de la lassitude face aux alertes : si les attaques constituent une menace omniprésente, à quoi les organisations doivent-elles prêter attention ? L’arrivée de la guerre cinétique change-t-elle cela, ou simplement en modifie-t-elle l’échelle temporelle ?
APT et malwares wiper
Les sociétés de sécurité hésitent rarement à annoncer les menaces iraniennes. Malgré cela, le consensus est que les cyber-représailles iraniennes ont jusqu’à présent été étonnamment modérées. Il pourrait s’agir simplement d’une période d’ajustement causée par la perturbation de l’infrastructure énergétique et Internet de l’Iran, préviennent-ils.
À ce jour, les groupes actifs se divisent en trois catégories qui se chevauchent : ceux ciblant principalement les infrastructures du Moyen-Orient, ceux orientés vers des cibles occidentales – qui comprennent des groupes spécialisés dans les menaces persistantes avancées (APT) – et des mandataires plus petits basés en dehors de l’Iran dont le ciblage est imprévisible.
Le 2 mars, l’unité 42 de Palo Alto a déclaré : « Les cyberunités alignées sur l’État pourraient agir dans un isolement opérationnel, ce qui pourrait entraîner des écarts par rapport aux modèles précédemment établis. De plus, la dégradation du commandement et du contrôle iraniens pourrait également conduire à une autonomie tactique pour les cellules en dehors de l’Iran. »
Les DDoS représentent la plus grande menace immédiate. Jusqu’à présent, cela ne s’est pas produit à quelque échelle que ce soit, le PDG de Cloudflare, Mathew Prince, ayant tweeté dimanche sur X que les attaques DDoS liées à l’Iran étaient en fait en baisse. Ceci malgré les rapports de CrowdStrike selon lesquels le groupe Hydro Kitten avait émis des menaces DDoS contre le secteur bancaire américain, ce qui a entraîné des perturbations à court terme.
La société de sécurité Radware a détecté 149 attaques DDoS qui semblaient être liées à l’Iran entre le 28 février et le 2 mars, la majorité ciblant des entités gouvernementales du Moyen-Orient. Tous, sauf un infime pourcentage, étaient dirigés par seulement trois groupes hacktivistes, Keymous+, DieNet et Conquerors Electronic Army, a indiqué la société.
Les attaques destructrices par « wiper » constituent une préoccupation plus urgente. Le précédent en est le tristement célèbre logiciel malveillant iranien Shamoon de 2012, qui a effacé 30 000 postes de travail de la compagnie pétrolière Saudi Aramco. Même si des tentatives d’attaques ultérieures ont également visé le secteur de l’énergie, le danger est qu’en temps de guerre, n’importe quelle cible fera l’affaire, aux États-Unis ou ailleurs.
Le fournisseur de sécurité Anomali a averti : « L’arsenal d’essuie-glaces iranien comprend plus de 15 familles (ZeroCleare, Meteor, Dustman, DEADWOOD, Apostle, BFG Agonizer, MultiLayer, PartialWasher). »
Les plus grandes préoccupations concernent les groupes très médiatisés de l’APT associés au Corps des Gardiens de la révolution islamique (CGRI) et au ministère du Renseignement et de la Sécurité (VEVAK), qui ont fait leurs preuves en matière d’attaques. Cela inclut APT35/APT42 (Charming Kitten, Phosphorous) et APT 33 (Elfin Team). Curieusement, l’un des APT iraniens les plus actifs, APT34 (OilRig), semble être resté silencieux, n’ayant pas été détecté depuis une semaine. « Cela indique probablement un prépositionnement secret, et non une inactivité », a déclaré Anomali.
La société de sécurité Tenable a publié un résumé utile des groupes menaçants iraniens les plus importants, qui discute des outils, techniques et procédures de chacun.
Ciblage et réponse
Selon Adrian Cheek, chercheur principal en cybercriminalité chez Flare, société canadienne de renseignement sur les menaces, les secteurs les plus à risque sont les infrastructures critiques, notamment la chaîne d’approvisionnement de la défense et du gouvernement, les services financiers, l’énergie et la santé.
« Les secteurs de l’eau, de l’énergie et de la santé sont actuellement les plus exposés. Ces secteurs combinent une priorité de ciblage élevée avec une sécurité de base faible, en particulier dans les environnements technologiques opérationnels. Les services financiers sont confrontés à des priorités de ciblage élevées mais disposent généralement de défenses plus solides », a déclaré Cheek.
Les groupes iraniens rechercheront d’abord les faiblesses connues des technologies opérationnelles et des systèmes de contrôle industriel. « Chaque multinationale américaine ayant des opérations dans la région du Golfe devrait informer le personnel régional des menaces physiques et cybernétiques accrues. Mettre en œuvre une MFA résistante au phishing (FIDO2/WebAuthn) lorsque cela est possible. Supprimer les outils de surveillance et de gestion à distance (RMM) non gérés », a-t-il déclaré.
Les organisations devraient également surveiller de toute urgence les logiciels malveillants wiper tout en s’assurant que les systèmes de points d’extrémité sont prêts à détecter les variantes de Shamoon lors de la mise à jour du VPN et d’autres appareils périphériques, une autre cible iranienne privilégiée, a déclaré Cheek.
Une grande inconnue est l’effet que l’IA pourrait avoir sur ce type de conflit, a suggéré Dean Valentine, PDG de la société de sécurité des applications ZeroPath. « L’avènement de modèles pionniers dotés de fortes capacités de cybersécurité abaisse le seuil de participation à des cyberattaques destructrices. Avant cette année, seuls quelques pays étaient très actifs dans le cyberespace. Désormais, n’importe quel pays ou organisation criminelle peut réunir une équipe de 5 à 10 ingénieurs peu qualifiés et causer des dégâts majeurs », a-t-il déclaré.
Alors que la cyber-capacité offensive de l’Iran a été considérablement réduite par les attaques américaines et israéliennes, AI mettait discrètement de puissantes perturbations entre les mains de groupes plus répartis géographiquement, a-t-il averti.
« Tout cela signifie que dans un avenir proche, les pays pauvres comme l’Iran seront probablement bien plus capables de s’en prendre à nous, en détruisant de grandes fractions de notre infrastructure Internet. »
