La société spécialisée FireEye a identifié des activités de spearphishing (harponnage) conduites par le groupe de menaces iranien APT33 en parallèle avec un climat de tension accru dans la région du Golfe et avec les Etats Unis. La campagne de spearphishing a ciblé à la fois les secteurs privé et public aux Etats-Unis. Cette activité est compatible avec la collecte de renseignements, et il est probable que le régime iranien utilise aussi du cyber espionnage pour réduire ses incertitudes entourant le conflit. A noter qu’APT33 a dans le passé effectué des attaques destructrices s’ajoutant à la collecte de renseignements.
Cibles aux Etats-Unis
Avant la signature de l’accord sur le nucléaire iranien, JCPOA, des acteurs iraniens ont mené des attaques destructrices et perturbatrices sur des cibles multiples aux Etats Unis. Toutefois, ces dernières années, des attaques similaires menées par des acteurs iraniens ont principalement eu lieu au Moyen Orient, ciblant des organisations du secteur privé telles que des compagnies pétrolières et gazières.Le lancement d’attaques destructrices et perturbatrices est une capacité que l’Iran peut utiliser pour causer des dommages économiques sans provoquer une escalade significative du conflit, tout comme lors de ses précédents sabotages de compagnies maritimes. De plus, si les Etats Unis mènent des cyber attaques comme annoncé, l’Iran peut utiliser ses propres capacités comme un moyen de réponse proportionnée. S’il s’avère qu’une action américaine s’est concentrée uniquement sur des cibles militaires, l’Iran peut choisir d’attaquer des cibles moins stratégiques où il détient un avantage asymétrique.
L'avis d'expert de Ryan Kalember, vice-président directeur de la stratégie de cybersécurité chez Proofpoint
« Les tensions récentes entre l'Iran et les États-Unis soulignent la façon dont les gouvernements ont intensifié leur recours aux « cyber options » dans le traitement des conflits internationaux. Au cours des derniers mois, les chercheurs Proofpoint ont observé l'activité de l'APT iranienne ciblant principalement l'enseignement supérieur. Dans ces campagnes, les méthodes d'attaque reflètent le paysage mondial de la menace dans son ensemble, les cybercriminels poursuivant les individus plutôt que les infrastructures. Ces groupes tirent régulièrement parti des vols d’identifiants en usurpant les portails de connexion d’organisations ciblées et utilisent des services d'URL raccourcis pour ainsi livrer des charges utiles malveillantes et complexifier davantage les campagnes.
Nous avons également vu des acteurs iraniens usurper des logos du gouvernement américain dans des emails contenant des documents malveillants et utiliser une variété d'outils publics ainsi que leurs propres outils non publics pour livrer des charges utiles malveillantes à des individus spécifiques dans des organisations ciblées. »