Une société de cybersécurité basée aux Etats-Unis a découvert un nouveau groupe d’espionnage « très actif », qui serait basé en Iran et qui se serait lancé dans l’infiltration et le piratage des réseaux d’organisations gouvernementales et d’autres entreprises situées au Moyen-Orient.

Symantec a publié mercredi des informations sur le collectif de piratage, que les chercheurs ont surnommé « Leafminer » (insectes mineurs de feuilles). Le groupe ciblerait des organisations en Arabie Saoudite, aux Emirats Arabes Unis, au Qatar, au Koweït, au Bahreïn, en Égypte et en Afghanistan.

Les objectifs de Leafminer auraient touché plusieurs secteurs, dont l’énergie, les télécommunications, les services financiers, les transports et l’administration publique.

Vikram Thakur, directeur technique de Symantec, a déclaré à The Hill que le groupe était actif depuis le début de 2017, mais qu’il avait « intensifié » son activité entre la fin de l’année dernière et le début de 2018. Thakur indique que ce groupe poursuit ses activités jusqu’à présent. « 

Grâce à ses recherches, Symantec a obtenu une liste d’environ 800 organisations répertoriées en fonction de leur pays d’origine et que les analystes considèrent comme un schéma directeur pour le groupe d’espionnage. La liste étant écrite en farsi, les principaux analystes concluent que les pirates sont basés en Iran.

« Toutes les organisations ciblées tiennent un discours politique en cours sur l’Iran et l’Iran est en fait absent de la liste », a déclaré M. Thakur. « Du point de vue de l’analyse, cela ne fait qu’accentuer le fait qu’ils sont probablement originaires d’Iran. »

Bien que Symantec n’ait pas de preuve établissant un lien entre le groupe et le gouvernement iranien, M. Thakur a déclaré qu’il est «probable» que le groupe opère au nom d’un État-nation.

Symantec a observé le groupe exécuter des attaques sur environ 40 organisations différentes ; dans certains cas, les pirates ont été carrément  bloqués et dans d’autres, ils ont pris pied et ont réussi à se connecter sur les réseaux de victimes.

Le groupe de piratage utilise un mélange d’outils de piratage accessibles au public et de logiciels malveillants personnalisés pour exécuter ses attaques, y compris le fameux exploit [c’est un élément de programme permettant à un individu ou à un logiciel malveillant d’exploiter une faille de sécurité informatique dans un système informatique.] «EternalBlue» divulgué par le groupe Shadow Brokers l’année dernière et qu’on pense largement avoir été développé par la NSA.

Le groupe utilise une variété de tactiques pour infiltrer ses cibles, telles que les attaques de trou d’arrosage – une stratégie dans laquelle un pirate infecte un site Web que les victimes vont généralement visiter afin d’infiltrer les systèmes de leurs cibles. Les analystes ont observé des pirates informatiques compromettant le site Web d’une agence de renseignement libanaise dans un tel cas.

Le groupe de piratage a également analysé Internet pour découvrir des vulnérabilités sur des réseaux pouvant être exploités, et a également exécuté des tentatives de connexion par force brute [Elle permet de casser tout mot de passe en un temps fini indépendamment de la protection utilisée, mais le temps augmente avec la longueur du mot de passe].

Les analystes estiment que le groupe est principalement intéressé par le piratage des courriers électroniques des victimes afin de collecter des communications et d’autres données, probablement à des fins d’espionnage.

De manière générale, les professionnels de la sécurité observent que les pirates informatiques iraniens étendre leurs opérations et deviennent plus sophistiqués dans leurs méthodes d’attaque. Cela comprend les groupes de piratage basés en Iran intensifiant les opérations sur les organisations internationales, y compris celles situées au Moyen-Orient et aux États-Unis.

Alors que Thakur ne pense pas que Leafminer soit particulièrement sophistiqué en termes de capacités techniques, il pense que le groupe pourrait étendre ses activités à d’autres pays, compte tenu de la liste de ses objectifs, y compris des organisations multinationales.

 « Certaines de ces organisations du Moyen-Orient pourraient avoir des succursales ou des filiales dans les pays occidentaux et les pirates pourraient être opportunistes », a déclaré M. Thakur.

« Je pense que leur ciblage ira, si ce n’est déjà fait, bien au-delà des » pays listés, a-t-il déclaré.