Les agences de renseignement américaines ont averti que le régime iranien collaborait avec des groupes de cybercriminels pour mener des attaques de ransomware contre des organisations aux États-Unis, en Israël, en Azerbaïdjan et aux Émirats arabes unis.
Le mercredi 28 août, le FBI, le Centre de cybercriminalité du Pentagone et l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ont annoncé que ces derniers temps, l’Iran a ciblé non seulement des institutions gouvernementales, mais aussi les secteurs de l’éducation, de la santé et de la défense dans ces pays.
L’évaluation du FBI indique qu’un pourcentage important de ces opérations de piratage informatique iraniennes ont été menées pour accéder aux réseaux de ces institutions par le biais de ransomware.
En plus du déploiement de ransomware, les pirates informatiques liés au régime iranien ont mené de vastes campagnes pour voler des données techniques sensibles aux institutions israéliennes et azerbaïdjanaises.
Les trois agences de renseignement américaines ont basé leur rapport sur des données fournies par plusieurs organisations qui avaient été touchées par ces activités malveillantes.
Les conclusions de ces trois agences indiquent que les pirates informatiques liés à l’Iran utilisent eux-mêmes des ransomwares ou collaborent avec d’éminents opérateurs de ransomware dans des opérations d’espionnage et de vol de données.
Les agences américaines ont conclu que les pirates informatiques associés à l’Iran, en échange de leur aide au déploiement de ransomwares, reçoivent une part des informations obtenues grâce à ces cyberpièges.
Dans certains cas, les pirates informatiques ont collaboré avec des groupes de ransomware qui bloquent les réseaux des victimes et cherchent à les extorquer.
De multiples opérations de piratage visant des organisations et des entreprises israéliennes
Le rapport de ces trois agences américaines a noté que des cyberacteurs liés au régime iranien ont été à l’origine de multiples opérations de piratage visant des organisations et des entreprises israéliennes au cours des quatre dernières années. Le motif principal n’était pas l’extorsion financière, mais plutôt d’embarrasser Israël en partageant en ligne les données volées à ces entités israéliennes.
Le rapport mentionne l’entreprise technologique iranienne « Danesh Novin Sahand », qu’il décrit comme une « couverture pour les activités cybernétiques » du régime iranien. Selon les agences américaines, cette société a exploité des vulnérabilités dans des produits de cybersécurité tels que les équipements VPN de Check Point ou de Palo Alto Networks.
Les pirates soutenus par le régime, après avoir pénétré dans le réseau de la victime et avant d’étendre leurs opérations d’infiltration et de vol de données, ont créé un compte utilisateur sous le nom de « John McCain », un éminent sénateur américain décédé.
Les pirates désactivent les programmes antivirus ou les logiciels de sécurité sur l’ordinateur de la victime pour opérer librement au sein du réseau compromis sans déclencher d’avertissement, ce qui leur permet d’exécuter leurs actions prévues, de voler des informations et de surveiller les activités de la victime.
Les experts en cybersécurité du gouvernement américain estiment que les pirates ne cachent généralement pas leur affiliation avec le régime iranien et maintiennent délibérément ambiguë l’origine de leurs actions.
Dans leur avis, les trois agences de renseignement américaines ont écrit que le simple fait de remédier aux vulnérabilités des logiciels utilisés sur les ordinateurs des victimes ne suffit pas à assurer la protection. Au lieu de cela, les organisations doivent prendre des mesures supplémentaires pour se protéger de ces pièges et signaler toute attaque de ransomware ou tout incident informatique.
Les agences américaines ont identifié quatre vulnérabilités spécifiques dans les logiciels utilisés sur les ordinateurs qui doivent être corrigées.
Le rapport des trois agences américaines a été publié alors que les services de renseignement américains s’intéressent de plus en plus aux cyberactivités de l’Iran visant à influencer la prochaine élection présidentielle américaine.
Microsoft a également signalé mercredi que des agents de piratage liés au Corps des gardiens de la révolution islamique (IRGC) ont installé des logiciels malveillants sur des ordinateurs des secteurs des satellites, du pétrole, du gaz et des communications aux États-Unis et aux Émirats arabes unis.
Le régime iranien, dans ses efforts pour renforcer ses capacités de renseignement, a de plus en plus recours aux cyberattaques et, plus récemment, à l’intelligence artificielle.