Une entreprise israélienne met au jour une cyberattaque iranienne visant les médiateurs du cessez-le-feu à Gaza

La société israélienne Dream Security a révélé au début du mois que l'Iran avait mené une cyberattaque sophistiquée dans le but d'espionner au moins 200 cibles impliquées dans les négociations en cours sur le cessez-le-feu à Gaza. Parmi les cibles figuraient des responsables égyptiens au Caire et à Paris, en France, ainsi que des médiateurs des États-Unis et du Qatar.

Dans un premier temps, la cyberattaque visait le compte de messagerie électronique du ministère des Affaires étrangères d'Oman, à travers des messages malveillants destinés à infiltrer et à surveiller les communications des diplomates impliqués. Les e-mails, qui se présentaient sous la forme de correspondance diplomatique, contenaient des documents Microsoft Word falsifiés pour ressembler à des lettres officielles provenant d'Oman. Une fois ouverts, ils libéraient un code malveillant qui se transformait en un logiciel cyberoffensif capable de surveiller la cible, de lire sa correspondance et d'enregistrer ses conversations, selon un article publié par Ynet News.

Dream Security estime que la cyberattaque contre Oman et les diplomates s'inscrit dans le cadre d'une opération de phishing iranienne plus large menée par le groupe de hackers « Homeland Justice », lié au ministère iranien du Renseignement et de la Sécurité.

Contrairement aux précédentes cyberattaques iraniennes qui visaient principalement les infrastructures ou cherchaient à voler des données, cette opération semblait avoir pour but de perturber ou d'influencer les négociations.

La société israélienne a souligné que le piratage des canaux diplomatiques représente une méthode d'attaque qui fusionne les domaines cybernétique et diplomatique.

« Lorsqu'un canal diplomatique authentique devient une arme cybernétique, les fronts diplomatique et cybernétique fusionnent en un seul champ de bataille », a déclaré la société, ajoutant que l'attaque s'inscrivait dans le cadre de tentatives régionales plus larges visant les canaux diplomatiques.

« L'opération de phishing menée par l'Iran reflète un effort régional plus large d'espionnage visant les instances diplomatiques et gouvernementales dans un contexte de tensions géopolitiques accrues », ont déclaré les responsables de Dream Security. « La confiance diplomatique est devenue une cible stratégique. Les schémas reproduisent les attaques précédentes liées à l'Iran, notamment une opération menée en 2023 en Albanie. »

Le groupe « Homeland Justice » pirate le gouvernement albanais depuis plusieurs années, car le pays accueille depuis 2013, à la demande du gouvernement américain, 3 000 membres du groupe d'opposition iranien, l'Organisation des Moudjahidine du peuple iranien, mieux connu sous le nom de Mojahedin-e-Khalq (MEK).

Dream Security, fondée en janvier 2023 par le PDG Shalev Hulio, compte l'ancien chancelier autrichien Sebastian Kurz comme président et Gil Dolev comme directeur technique. Selon Tal Fialkov, vice-président de l'IA et de la cybersécurité de l'entreprise, les agents IA de Dream Security « fournissent une cartographie et une analyse en temps réel sans précédent des cyberattaques au niveau national, donnant aux pays un avantage défensif contre les menaces complexes ».

À l'aide de ses propres systèmes d'IA, Dream Security a cartographié l'attaque contre le ministère des Affaires étrangères d'Oman à l'aide d'agents autonomes qui ont scanné le web ouvert et le dark web à la recherche d'activités malveillantes. Les agents IA ont également effectué une analyse médico-légale reliant les domaines, les serveurs et l'infrastructure d'attaque. Ils ont retracé le groupe iranien responsable de l'attaque, cartographié la campagne d'infection et exposé ses méthodes opérationnelles, ce qui pourrait permettre de perturber les capacités du groupe.

L'Iran mène régulièrement des cyberattaques contre Israël. Tout récemment, la Direction nationale de la cybersécurité israélienne a déjoué une tentative du régime iranien d'utiliser un faux site web ciblant les vétérans et les réservistes de l'armée israélienne souffrant de stress post-traumatique, les incitant à partager leurs données personnelles tout en installant des logiciels malveillants.