Des pirates informatiques soutenus par l’Iran et le Hezbollah ont organisé des cyberattaques destinées à saper le soutien du public à la guerre entre Israël et le Hamas après octobre 2023.
Cela inclut des attaques destructrices contre des organisations israéliennes clés, des opérations de piratage et de fuite ciblant des entités en Israël et aux États-Unis, des campagnes de phishing conçues pour voler des renseignements et des opérations d’information visant à retourner l’opinion publique contre Israël.
L’Iran a représenté près de 80 % de toutes les activités de phishing soutenues par le gouvernement visant Israël au cours des six mois précédant les attentats du 7 octobre, a déclaré Google dans un nouveau rapport.
« Les opérations de piratage et de fuite d’informations restent un élément clé des efforts de ces acteurs et des acteurs de menace associés pour communiquer leurs intentions et leurs capacités tout au long de la guerre, à la fois à leurs adversaires et à d’autres publics qu’ils cherchent à influencer », a déclaré le géant de la technologie. dit.
Mais ce qui est également remarquable dans le conflit Israël-Hamas, c’est que les cyber-opérations semblent être exécutées indépendamment des actions cinétiques et sur le champ de bataille, contrairement à ce qui a été observé dans le cas de la guerre russo-ukrainienne.
De telles cybercapacités peuvent être déployées rapidement à moindre coût pour affronter des rivaux régionaux sans confrontation militaire directe, a ajouté la société.
L’un des groupes affiliés à l’Iran, surnommé GREATRIFT (alias UNC4453 ou Plaid Rain), aurait propagé des logiciels malveillants via un faux site de « personnes disparues » ciblant les visiteurs cherchant des mises à jour sur les Israéliens enlevés. L’auteur de la menace a également utilisé des documents leurres sur le thème du don de sang comme vecteur de distribution.
Au moins deux personnalités hacktivistes, Karma et Handala Hack, ont exploité des souches de logiciels malveillants d’effacement telles que BiBi-Windows Wiper, BiBi-Linux Wiper, ChiLLWIPE et COOLWIPE pour organiser des attaques destructrices contre Israël et supprimer des fichiers des systèmes Windows et Linux, respectivement.
Un autre groupe de piratage informatique iranien appelé Charming Kitten (alias APT42 ou CALANQUE) a ciblé les médias et les organisations non gouvernementales (ONG) avec une porte dérobée PowerShell connue sous le nom de POWERPUG dans le cadre d’une campagne de phishing observée fin octobre et novembre 2023.
POWERPUG est également le dernier ajout à la longue liste de portes dérobées de l’adversaire, qui comprend PowerLess, BellaCiao, POWERSTAR (alias GorjolEcho), NokNok et BASICSTAR.
Des groupes liés au Hamas, en revanche, ont ciblé des ingénieurs logiciels israéliens avec des leurres d’affectation de codage dans le but de les inciter à télécharger le logiciel malveillant SysJoker quelques semaines avant les attentats du 7 octobre. La campagne a été attribuée à un acteur menaçant appelé BLACKATOM.
« Les attaquants […] se sont fait passer pour des employés d’entreprises légitimes et ont contacté via LinkedIn pour inviter des cibles à postuler à des opportunités de développement de logiciels en freelance », a déclaré Google. « Les cibles comprenaient des ingénieurs logiciels de l’armée israélienne, ainsi que de l’industrie aérospatiale et de défense israélienne. »
Le géant de la technologie a décrit les tactiques adoptées par les cyber-acteurs du Hamas comme simples mais efficaces, soulignant leur utilisation de l’ingénierie sociale pour fournir des chevaux de Troie d’accès à distance et des portes dérobées comme MAGNIFI pour cibler les utilisateurs en Palestine et en Israël, qui ont été liés à BLACKSTEM (alias Molerats). .
Une autre dimension à ces campagnes est l’utilisation de logiciels espions ciblant les téléphones Android, capables de collecter des informations sensibles et d’exfiltrer les données vers une infrastructure contrôlée par les attaquants.
Les souches de logiciels malveillants, appelées MOAAZDROID et LOVELYDROID, sont l’œuvre de l’acteur DESERTVARNISH, affilié au Hamas, également suivi sous les noms d’Arid Viper, Desert Falcons, Renegade Jackal et UNC718. Les détails sur le logiciel espion ont déjà été documentés par Cisco Talos en octobre 2023.
Des groupes parrainés par l’État iranien, tels que MYSTICDOME (alias UNC1530), ont également été observés ciblant des appareils mobiles en Israël avec le cheval de Troie d’accès à distance Android MYTHDROID (alias AhMyth) ainsi qu’un logiciel espion sur mesure appelé SOLODROID pour la collecte de renseignements.
« MYSTICDOME a distribué SOLODROID à l’aide de projets Firebase qui ont redirigé les utilisateurs vers le Play Store, où ils ont été invités à installer le logiciel espion », a déclaré Google, qui a depuis retiré les applications du marché numérique.
Google a également mis en avant un malware Android appelé REDRUSE – une version trojanisée de l’application légitime Red Alert utilisée en Israël pour avertir des attaques à la roquette – qui exfiltre les contacts, les données de messagerie et la localisation. L’attaque s’est propagée via des SMS de phishing usurpant l’identité de la police.
La guerre en cours a également eu un impact sur l’Iran, dont les infrastructures critiques ont été perturbées par un acteur nommé Gonjeshke Darande (qui signifie moineau prédateur en persan) en décembre 2023. Ce personnage serait lié à la direction du renseignement militaire israélien.
Ces conclusions interviennent alors que Microsoft révèle que des acteurs alignés sur le gouvernement iranien ont « lancé une série de cyberattaques et d’opérations d’influence (OI) destinées à aider la cause du Hamas et à affaiblir Israël et ses alliés politiques et partenaires commerciaux ».
Redmond a décrit leurs premières opérations de cybersécurité et d’influence comme réactives et opportunistes, tout en corroborant l’évaluation de Google selon laquelle les attaques sont devenues « de plus en plus ciblées et destructrices et les campagnes d’OI sont devenues de plus en plus sophistiquées et inauthentiques » après le déclenchement de la guerre.
En plus d’intensifier et d’étendre ses attaques au-delà d’Israël pour englober les pays que l’Iran considère comme aidant Israël, notamment l’Albanie, Bahreïn et les États-Unis, Microsoft a déclaré avoir observé une collaboration entre des groupes affiliés à l’Iran tels que Pink Sandstorm (alias Agrius) et le cyber-groupe du Hezbollah. unités.
« La collaboration abaisse les barrières à l’entrée, permettant à chaque groupe de contribuer aux capacités existantes et supprime le besoin d’un seul groupe pour développer une gamme complète d’outils ou de métiers », Clint Watts, directeur général du Microsoft Threat Analysis Center (MTAC), dit.
La semaine dernière, NBC News signalé que les États-Unis ont récemment lancé une cyberattaque contre un navire militaire iranien nommé MV Behshad, qui collectait des renseignements sur des cargos dans la mer Rouge et le golfe d’Aden.
Une analyse de Recorded Future le mois dernier a détaillé comment les pirates informatiques et les groupes écrans en Iran sont gérés et exploités par diverses sociétés sous-traitantes en Iran, qui mènent des opérations de collecte de renseignements et d’informations pour « fomenter l’instabilité dans les pays cibles ».
« Alors que les groupes iraniens se sont empressés de mener, ou simplement de fabriquer, des opérations dans les premiers jours de la guerre, les groupes iraniens ont récemment ralenti leurs opérations, leur laissant plus de temps pour obtenir l’accès souhaité ou développer des opérations d’influence plus élaborées », a conclu Microsoft.