En proie à de nombreux conflits armés depuis plusieurs décennies, le Moyen-Orient et ses pays voisins mènent également une autre bataille plus souterraine et discrète : la cyberguerre. L’Iran, à titre d’exemple, est régulièrement cité dans divers rapports en la matière. À l’image de celui de ClearSky Cyber Security, qui se fait l’écho d’un piratage informatique lancé contre les gouvernements d’Irak, du Pakistan et du Tadjikistan.
Concordance douteuse
Au cœur de cette nouvelle affaire, un groupe de hackers surnommé MuddyWater, en référence à l’une des figures historiques du blues de Chicago du début du XXe siècle. Mais MuddyWater, fortement soupçonné de travailler pour le compte de l’administration iranienne, semble se cacher sous d’autres patronymes. C’est du moins ce que l’on peut supposer au regard des informations publiées par CyberScoop.
D’après ce dernier, cette organisation de cyberattaquants a vu ses outils d’espionnage être publiés sur la plateforme Telegram, par un autre pirate, en avril dernier. À l’époque déjà, cette cyberescouade faisait l’objet de suspicions avancées quant à ses relations étroites avec la République islamique susmentionnée… mais sous d’autres noms : APT34 ou OilRig, en l’occurrence. Difficile, donc, de ne pas faire le lien avec MuddyWater.
De septembre à décembre 2018, son activité a donné du fil à retordre à 131 victimes et 30 entreprises visées, de la Russie à l’Arabie Saoudite en passant par l’Amérique du Nord, selon un rapport de Symantec cité par CyberScoop. Et le début d’année 2019 se semble pas calmer leurs ardeurs, aux dépens de trois gouvernements : irakien, pakistanais et tadjik.
C’est avec une grande confiance que Ohad Zaidenberg, analyste chez ClearSky, attribue la cyberattaque à MuddyWater. Des documents et fichiers malveillants ont ainsi été utilisés pour cibler les organismes de télécommunication. Avec un procédé pour le moins avancé, car divisé en deux étapes distinctes. La première consistait à utiliser un leurre pour exploiter une vulnérabilité connue sur Microsoft Office, laquelle a permis d’exécuter du code à distance.
Une tentative de déstabilisation inefficace
Lors de la seconde phase offensive, les attaquants ont communiqué avec des serveurs piratés pour télécharger des fichiers infectés. Pour Ben Read, directeur de l’analyse du cyberespionnage chez FireEye, compromettre de tels services de télécommunication leur donne accès à des données sensibles utiles pour l’espionnage. Et donc utiles, si collaboration il y a, avec les services iraniens.
Surtout, la fuite de leurs outils observée il y a deux mois ne semble pas les avoir impactés. Autrement dit, les missions commandées par leurs « clients » se soldent généralement par un succès, malgré la tentative de déstabilisation. Preuve que MuddyWater dispose de techniques à la fois puissantes et affûtées, ou du moins assez sophistiquée pour pénétrer les systèmes de pays comme l’Irak, le Pakistan et le Tadjikistan. Avec ou sans l’aide d’un gouvernement allié.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !