Depuis près de neuf mois, des groupes de pirates qui seraient basés en Iran lancent des cyberattaques à grande échelle conçues pour mettre hors ligne les sites Web des banques américaines. Mais ces agressions ont diminué au cours des dernières semaines alors que des groupes de pirates informatiques iraniens ont commencé à tourner leur attention vers des cibles nationales, lançant des attaques de phishing sophistiquées contre leurs concitoyens avant l’élection présidentielle d’aujourd’hui.
E-mail de phishing ciblant les Iraniens. Source : Google.
Depuis septembre 2012, près de 50 institutions financières américaines ont été ciblées dans plus de 200 attaques par déni de service distribué (DDoS), selon le département américain de la Sécurité intérieure. Un collectif de hackers du Moyen-Orient connu sous le nom de Cybercombattants Izz ad-Din al-Qassam a revendiqué les agressions, et les responsables du renseignement américain ont à plusieurs reprises blâmé les attaques contre des groupes de hackers soutenus par le gouvernement iranien.
Mais il y a environ trois semaines, les experts ont commencé à remarquer que les attaques s’étaient mystérieusement arrêtées.
« Nous n’avons rien vu depuis environ trois semaines maintenant », a déclaré Bill Nelsonprésident et chef de la direction de Centre de partage et d’analyse d’informations sur les services financiers (FS-ISAC), une coalition industrielle qui diffuse des données sur les cybermenaces aux institutions financières membres. « On ne sait pas pourquoi [the attacks stopped]mais il se passe beaucoup de choses en Iran en ce moment, notamment les élections présidentielles.
Entre-temps, les données recueillies par Google suggère que les assaillants concentrent leurs compétences et leur puissance de feu en interne, peut-être pour recueillir des renseignements sur des groupes et des individus soutenant des candidats spécifiques en lice pour le siège présidentiel iranien. Dans un article de blog publié cette semaine, Google a déclaré qu’il suivait un « bond significatif » du volume global d’activités de phishing en Iran et dans les environs.
« Pendant près de trois semaines, nous avons détecté et interrompu plusieurs campagnes de phishing par e-mail visant à compromettre les comptes appartenant à des dizaines de milliers d’utilisateurs iraniens », a écrit Eric Grosse, vice-président de l’ingénierie de sécurité pour Google. « Le moment et le ciblage des campagnes suggèrent que les attaques sont politiquement motivées en rapport avec l’élection présidentielle iranienne de vendredi. »
Grosse a déclaré que les attaques semblent être l’œuvre du même groupe qui a utilisé des certificats SSL obtenus frauduleusement auprès de l’autorité de certification néerlandaise aujourd’hui disparue. Diginote en sophistiqué Campagnes de phishing iraniennes qui a usurpé Gmail et d’autres services en ligne en août 2011.
Jeff Bardinchef du renseignement à Marchepied 71une société de renseignement et de formation en cybersécurité, a déclaré qu’il s’attend à ce que les attaques de phishing diminuent après les élections d’aujourd’hui en Iran.
« Ils sont en avance sur le jeu cette fois-ci, contrairement à 2009 où ils ne pouvaient pas contrôler les activités du Web 2.0 et des téléphones portables », a déclaré Bardin à propos du gouvernement iranien. « Depuis, ils ont acquis ou nationalisé les télécoms, mis en place des filtres, des interrupteurs pour Internet et infiltré Facebook, Twitter, YouTube. L’Iran a établi un haut degré de surveillance et de contrôle.
Pour l’instant, il n’est pas clair si le même volume d’attaques DDoS contre les institutions financières américaines se poursuivra après la fin des élections iraniennes. Selon Bardin, les attaques ont été de plus en plus inefficaces car de plus en plus d’institutions financières américaines se sont tournées vers des fournisseurs commerciaux de protection DDoS, y compris des sociétés comme Akamaï, Réseaux Arbor, prolexique (qui protège ce blog) et Radware.
« Nous verrons ce qui se passera après les élections, mais nous ne retenons pas notre souffle », a déclaré Nelson du FS-ISAC. « C’est peut-être la fin, mais ils se préparent probablement pour un autre tour. »