WASHINGTON: Des pirates informatiques liés au gouvernement iranien ciblent un «large éventail de victimes» à l'intérieur des États-Unis, notamment en déployant des rançongiciels, selon un avertissement publié mercredi par des responsables américains, britanniques et australiens.

L'avertissement indique qu'au cours des derniers mois, l'Iran a exploité les vulnérabilités informatiques révélées par des pirates informatiques avant qu'elles ne puissent être des entités déterminées et ciblées dans les secteurs des transports, des soins de santé et de la santé publique. Les attaquants ont mis à profit le piratage initial pour des opérations supplémentaires, telles que l'exfiltration de données, les logiciels de rançon et l'extorsion, selon l'avertissement. Le groupe a utilisé la même vulnérabilité Microsoft Exchange en Australie, d’après les responsables.

L'avertissement est notable car même si les attaques de rançongiciels restent répandues aux États-Unis, la plupart des attaques importantes de l'année dernière ont été attribuées à des gangs de pirates informatiques basés en Russie plutôt qu'à des pirates iraniens.

Les responsables gouvernementaux ne sont pas les seuls à observer l'activité iranienne: le géant de la technologie Microsoft a annoncé mardi avoir vu six groupes différents en Iran déployer des rançongiciels depuis l'année dernière.

Microsoft a affirmé que l'un des groupes consacrait beaucoup de temps et d'énergie à essayer de nouer des relations avec les victimes visées avant de les cibler avec des campagnes d’hameçonnage ciblé (spear-phishing). Les membres du groupe envoient de fausses invitations à des conférences ou des demandes d'interview et se font souvent passer pour des responsables de groupes de réflexion à Washington, D.C., a précisé Microsoft.

Une fois que la relation est établie et qu'un lien malveillant est envoyé, les Iraniens sont très insistants pour essayer d'amener leurs victimes à cliquer dessus, a indiqué James Elliott, membre du Microsoft Threat Intelligence Center.

«Ces gars-là ne vous lâchent pas. Toutes les deux heures, ils envoient un e-mail», a précisé Elliott lors de la conférence Cyberwarcon sur la cybersécurité mardi.

Au courant de cette année, Facebook a annoncé que des pirates iraniens déployaient des «personnages fictifs sophistiqués» pour établir la confiance avec des cibles et les amener à cliquer sur des liens malveillants, en se faisant souvent passer pour des recruteurs d'entreprises de défense et d'aérospatiale.

Des chercheurs de la société de cybersécurité Crowdstrike ont déclaré qu'eux-mêmes et leurs concurrents avaient commencé à observer ce type d'activité iranienne l'année dernière.

Les attaques de rançongiciels iraniens, contrairement à celles parrainées par le gouvernement nord-coréen, ne sont pas autant conçues pour générer des revenus pour l'espionnage, que pour semer la désinformation, pour harceler et embarrasser leurs ennemis – principalement Israël –, et surtout pour épuiser leurs cibles, ont déclaré les chercheurs de Crowdstrike lors de l'événement Cyberwarcon.

«Bien que ces opérations utilisent des demandes de rançon et des sites de diffusion exigeant de la crypto-monnaie, nous ne voyons vraiment aucune initiative viable pour la génération actuelle de devises», a déclaré Kate Blankenship, directrice de l'analyse des menaces mondiales de Crowdstrike.

Crowdstrike considère l'Iran comme le pionnier de cette nouvelle «forme secondaire» de cyberattaque qui consiste généralement à paralyser un réseau avec un rançongiciel, à voler des informations puis à les diffuser en ligne. Les chercheurs appellent la méthode «verrouiller et divulguer». Elle est moins visible, moins onéreuse, et «laisse davantage de place à la dénégation», a précisé Blankenship.

Ce texte est la traduction d’un article paru sur Arabnews.com