Un groupe de pirates alignés sur le gouvernement iranien a lancé une campagne majeure ciblant les entreprises énergétiques du Moyen-Orient et d'autres avant les sanctions américaines contre l'Iran, une entreprise de cybersécurité a déclaré mardi, avertissant que d'autres attaques restent possibles alors que l'Amérique en impose à nouveau à Téhéran.

Alors que la société FireEye affirme que la campagne d'e-mails dite de "spear-phishing" implique uniquement des pirates informatiques volant des informations sur des ordinateurs infectés, il s'agit d'un type de malware similaire précédemment utilisé pour injecter un programme qui a détruit des dizaines de milliers de terminaux en Arabie saoudite.

La société avertit que le niveau de danger augmente avant que les États-Unis ne réimposent des sanctions écrasantes contre l'industrie pétrolière iranienne début novembre.

"Chaque fois que nous voyons des groupes de menace iraniens actifs dans cette région, notamment en lien avec les événements géopolitiques, nous devons être inquiets qu'ils puissent être engagés ou se pré-positionner pour une attaque perturbatrice, " Alister Shepherd, administrateur d'une filiale FireEye, a déclaré à l'Associated Press.

La mission iranienne auprès des Nations Unies n'a pas immédiatement répondu à une demande de commentaires sur le rapport de FireEye.

il de feu, qui travaille souvent avec les gouvernements et les grandes entreprises, désigne le groupe de pirates iraniens sous le nom d'APT33, acronyme pour « menace persistante avancée ». APT33 a utilisé des attaques par e-mail de phishing avec de fausses offres d'emploi pour accéder aux entreprises concernées, falsifier des noms de domaine pour faire paraître les messages légitimes. Les analystes ont décrit les e-mails comme du "spear-phishing" car ils semblent ciblés par nature.

FireEye a discuté pour la première fois du groupe l'année dernière à peu près à la même époque. Cette année, la société a informé les journalistes après avoir offert des présentations à des clients potentiels du gouvernement à Dubaï dans un hôtel de luxe et un yacht club sur la construction humaine, l'île de Daria en forme d'hippocampe.

Tout en reconnaissant leur argumentaire de vente, FireEye a mis en garde contre le danger que représentent ces groupes de piratage alignés sur le gouvernement iranien. L'Iran serait à l'origine de la propagation de Shamoon en 2012, qui a touché Saudi Arabian Oil Co. et le producteur de gaz naturel qatari RasGas. Le virus a supprimé les disques durs, puis affiché une image d'un drapeau américain en feu sur des écrans d'ordinateur. Saudi Aramco a finalement fermé son réseau et en a détruit plus de 30, 000 ordinateurs.

Une deuxième version de Shamoon a traversé les ordinateurs du gouvernement saoudien fin 2016, cette fois, faire en sorte que les ordinateurs détruits affichent une photographie du corps du garçon syrien de 3 ans Aylan Kurdi, qui s'est noyé en fuyant la guerre civile de son pays.

Mais l'Iran s'est d'abord retrouvé victime d'une cyberattaque. L'Iran a développé ses cybercapacités en 2011 après que le virus informatique Stuxnet a détruit des milliers de centrifugeuses impliquées dans le programme nucléaire contesté de l'Iran. Stuxnet est largement considéré comme une création américaine et israélienne.

Les e-mails d'APT33 n'ont pas été destructeurs. Cependant, du 2 juillet au 29 juillet, FireEye a constaté « une augmentation de 10 facteurs » du nombre d'e-mails envoyés par le groupe ciblant ses clients, dit le berger. Le nombre réel d'attaques était probablement encore plus important, car les chiffres de FireEye n'incluent que leurs propres clients.

Les mails, se faisant passer pour une société pétrolière et gazière du Moyen-Orient, organisations ciblées au Moyen-Orient, Amérique du Nord et Japon. Les bénéficiaires comprenaient des entreprises impliquées dans l'industrie pétrolière et gazière, utilitaires, Assurance, fabrication et éducation, dit FireEye.

Plusieurs indices amènent FireEye à croire que l'APT33 a le soutien du gouvernement iranien. Les pirates utilisent le farsi, travailler une semaine de travail iranienne du samedi au mercredi et correspondre pendant les heures de bureau iraniennes, dit FireEye. Sa liste de cibles comprend également des entreprises américaines de la pétrochimie et de l'aviation, ainsi que les nations alliées, comme les membres du Conseil de coopération du Golfe à six pays, dit le berger. Le CCG englobe Bahreïn, Koweit, Oman, Qatar, Arabie saoudite et Émirats arabes unis.

"Depuis que nous avons commencé à suivre APT33 en 2013, leur sophistication s'est nettement améliorée. . On ne les mettrait pas au même niveau que certains des groupes russes les plus sophistiqués, par exemple, en termes de capacité, " Shepherd a déclaré à l'AP. " Mais c'est un groupe très compétent et ils parviennent à atteindre leurs objectifs, qui est de compromettre les institutions à la fois du gouvernement et du secteur privé et de voler des données. »

© 2018 La Presse Associée. Tous les droits sont réservés.