Amazon Threat Intel a corrélé l’activité des groupes menaçants iraniens avec les frappes de missiles ultérieures et suggère que la modélisation des menaces informatiques devrait inclure des scénarios impliquant des attaques physiques potentielles.
Les activités cybernétiques de deux acteurs menaçants liés à l’Iran ont joué un rôle clé dans les frappes de missiles très médiatisées ultérieures, selon l’équipe Threat Intel d’Amazon, qui considère ces incidents comme le signe d’un recours accru aux cyberopérations pour soutenir des attaques cinétiques.
« Nous pensons que le ciblage cinétique cybernétique deviendra de plus en plus courant contre plusieurs adversaires », a écrit CJ Moses, RSSI d’Amazon Integrated Security, dans un article de blog documentant les deux incidents. « Les acteurs des États-nations reconnaissent l’effet multiplicateur de force de la combinaison de la reconnaissance numérique et des attaques physiques. Cette tendance représente une évolution fondamentale dans la guerre, où les frontières traditionnelles entre les opérations cybernétiques et cinétiques s’effacent. »
Bien qu’il ne s’agisse pas d’un développement nouveau à l’ère de la guerre hybride, les incidents documentés par Amazon jettent un nouvel éclairage sur la façon dont les frappes de missiles en mer Rouge et en Israël ont été directement soutenues par des efforts de cyberespionnage visant à recueillir des informations sur les cibles.
Imperial Kitten pirate le système de suivi des navires maritimes
L’une des attaques cinétiques qu’Amazon a pu associer aux cyberopérations s’est produite début février 2024, lorsque les rebelles Houthis ont lancé des missiles sur un navire commercial dans la mer Rouge dans le cadre d’une campagne visant à perturber la navigation dans la région.
La frappe a échoué, le commandement central américain ayant rapporté le 1er février que deux missiles tirés par les Houthis avaient touché l’eau sans toucher le navire, n’ayant fait aucun blessé ni dommage. Cependant, les données de renseignement sur les menaces d’Amazon montrent désormais qu’un groupe APT connu sous le nom d’Imperial Kitten a recherché les données de localisation du système d’identification automatique (AIS) pour ce même navire quelques jours auparavant.
Actif depuis au moins 2017, Imperial Kitten, également connu sous le nom de Tortoiseshell ou TA456, est un acteur menaçant qui ferait partie du Corps des Gardiens de la révolution islamique (CGRI) iranien. Au fil des années, le groupe a ciblé l’industrie maritime, y compris la construction navale ainsi que les organisations de logistique maritime, ainsi que d’autres secteurs tels que la défense, la technologie, les télécommunications et l’énergie.
Selon Amazon, le groupe a compromis la plate-forme AIS d’un navire en décembre 2021 et a enchaîné avec des attaques en 2022 contre des systèmes supplémentaires du navire, notamment des caméras de vidéosurveillance embarquées à bord d’un navire.
L’AIS est un système de suivi automatique qui utilise la radio VHF pour échanger des informations sur l’identification, la position, la vitesse et le cap d’un navire avec des stations côtières ainsi qu’avec d’autres navires. Accéder à la plate-forme AIS d’un navire permettrait aux pirates informatiques de rechercher également d’autres navires.
Parce que les Houthis sont soutenus par l’Iran et qu’un APT connu lié au gouvernement iranien a été vu en train de rechercher dans les données AIS un navire spécifique quelques jours avant qu’il ne soit la cible d’une attaque de missile lancée par les Houthis, Amazon estime que la corrélation est « indubitable ».
« Cette affaire démontre comment les cyberopérations peuvent fournir aux adversaires les renseignements précis nécessaires pour mener des attaques physiques ciblées contre les infrastructures maritimes, un élément essentiel du commerce mondial et de la logistique militaire », a déclaré Moses d’Amazon.
MuddyWater utilise des caméras de vidéosurveillance piratées pour guider les missiles
Amazon a également trouvé des preuves de menace à l’appui d’un autre incident lié à l’Iran impliquant du cyberespionnage et des frappes de missiles qui ont reçu une confirmation officielle.
Après les frappes américaines contre les sites nucléaires iraniens en juin, l’Iran a riposté en lançant un barrage de missiles contre Israël, ciblant des villes comme Tel Aviv et Jérusalem. Un ancien responsable israélien de la cybersécurité a averti que des agents iraniens tentaient d’accéder à des caméras de surveillance privées pour évaluer l’impact de leurs frappes et améliorer leur précision.
La Direction nationale israélienne de la cybersécurité a également confirmé à Bloomberg à peu près au même moment que les systèmes de vidéosurveillance étaient de plus en plus ciblés par les pirates iraniens.
Les données d’Amazon montrent que MuddyWater, un groupe menaçant lié à une société iranienne agissant comme façade pour le ministère iranien du Renseignement et de la Sécurité (Vevak), a accédé à un serveur compromis contenant des flux de vidéosurveillance en direct depuis Jérusalem quelques jours avant une attaque généralisée de missiles iraniens contre la ville.
L’accès au serveur CCTV compromis a été obtenu via l’infrastructure de serveur que MuddyWater avait mise en place en mai pour ses cyberopérations, montrant un lien direct avec le groupe.
Le ciblage des caméras de vidéosurveillance pour la collecte de renseignements en soutien aux opérations militaires n’est pas propre à l’Iran. En mai 2024, les agences de renseignement des États-Unis et de plusieurs pays de l’OTAN ont averti dans un avis conjoint que l’agence de renseignement militaire russe, le GRU, avait piraté des caméras situées à des endroits clés, comme à proximité des postes frontières, des installations militaires et des gares ferroviaires, en Ukraine et dans les pays voisins. L’objectif était de suivre le mouvement des matériaux vers l’Ukraine dans le cadre des expéditions d’aide.
« Pour la communauté de la cybersécurité, cette recherche sert à la fois d’avertissement et d’appel à l’action », a déclaré Moses d’Amazon. « Les défenseurs doivent adapter leurs stratégies pour faire face aux menaces qui couvrent à la fois les domaines numériques et physiques. Les organisations qui pensaient historiquement ne pas intéresser les acteurs de la menace pourraient désormais être ciblées pour le renseignement tactique. »
Amazon suggère aux organisations d’élargir leur modélisation des menaces pour réfléchir à la manière dont leurs systèmes informatiques compromis pourraient être utilisés pour soutenir des attaques physiques, en particulier contre les opérateurs d’infrastructures critiques, de systèmes maritimes, de réseaux de surveillance urbains et d’autres sources de données qui pourraient être utilisées pour faciliter le ciblage dans les opérations cinétiques. La société a inventé le terme « ciblage cinétique cybernétique » pour désigner les cyberopérations dont l’objectif est de faciliter et d’améliorer les opérations militaires cinétiques.
