Un groupe de hackers lié à l'Iran cible le cyberréseau turc

Short Url
Publié le Vendredi 18 février 2022

Un groupe de hackers lié à l'Iran cible le cyberréseau turc

  • Avec le rapprochement en cours avec Israël et les pays du Golfe, on peut s'attendre à davantage d'attaques de logiciels malveillants, déclare un analyste à Arab News
  • Téhéran utilise la guerre informatique comme extension de sa politique étrangère et de sécurité, affirme un expert

ANKARA: L'Iran a intensifié sa cyber campagne de longue date contre la Turquie par le biais de pirates informatiques parrainés par l'État, qui ciblent des sites gouvernementaux et privés de premier plan depuis novembre 2021.

Les experts estiment que cette intensification est une réaction contre les tentatives d’Ankara de normaliser ses relations avec des pays tels que les Émirats arabes unis, l'Arabie saoudite et Israël.

MuddyWater, un groupe de pirates informatiques lié au ministère iranien du Renseignement et de la Sécurité, serait à l'origine de ces cyberattaques, qui font intervenir des vecteurs d'infection tels que des pièces jointes PDF malveillantes et des documents Microsoft Office intégrés dans des courriels de phishing.

Ces documents malveillants étaient intitulés en langue turque afin qu'ils soient présentés comme des textes légitimes provenant des ministères turcs de la Santé et de l'Intérieur.

L'attaque de logiciels malveillants a été observée pour la première fois par CISCO Talos Intelligence Group, l'une des plus grandes équipes de renseignement axées sur les menaces commerciales au monde.

Les courriels destinés à l'entreprise cible contenaient un lien vers un site Web malveillant et utilisaient le nom de l'institution cible comme paramètre dans l'URL.

CONTEXTE

MuddyWater, un groupe de pirates informatiques lié au ministère iranien du Renseignement et de la Sécurité, serait à l'origine de ces cyberattaques, qui font intervenir des vecteurs d'infection tels que des pièces jointes PDF malveillantes et des documents Microsoft Office intégrés dans des courriels de phishing.

Dans le cadre d'une tactique connue sous le nom de web bug, les liens sont utilisés pour suivre le moment où les messages sont ouverts par le point d’accès.

Lorsque l'accès initial à la victime est obtenu, le groupe de pirates collecte des informations sensibles sur son réseau.

MuddyWater est connu pour ses attaques contre les réseaux gouvernementaux aux États-Unis, en Europe, au Moyen-Orient et en Asie du Sud au cours des deux dernières années. Il a pour but de mener des activités de cyber espionnage pour les intérêts de l'État, de déployer des rançongiciels et des logiciels malveillants destructeurs et de voler la propriété intellectuelle de haute valeur économique.

«L'Iran est devenu un cyber acteur de plus en plus compétent et sophistiqué depuis 2007», a déclaré Rich Outzen, colonel à la retraite de l'armée américaine et chercheur principal à la Jamestown Foundation, à Arab News.

«Jusqu'à présent, il y avait des cyberattaques et des cybercrimes émanant de l'Iran, mais peu de preuves d'une direction étatique», a souligné Outzen.

«À partir de la répression du Mouvement vert et la propre expérience de l'Iran en tant que cible de cyberattaques contre son programme nucléaire sanctionné, l'émergence d'une ‘cyber armée iranienne’ sous la direction du Corps des gardiens de la révolution islamique a été documentée», a-t-il expliqué.

Le groupe est principalement motivé par les événements géopolitiques et conçoit ses tentatives de piratage en fonction d'objectifs stratégiques à long terme.

«L'Iran mène désormais régulièrement des attaques de suppression de données, des attaques de déni de service distribué et des attaques de perturbation industrielle contre des cibles aux États-Unis, en Europe, en Israël et dans le Golfe, ainsi que contre des cibles nationales en Iran», a indiqué Outzen.

«Les attaques contre la Turquie ont été moins fréquentes, mais semblent se multiplier depuis deux ou trois ans. Avec le rapprochement en cours avec Israël et les pays du Golfe, on peut s'attendre à davantage», a-t-il avisé.

La semaine dernière, la Turquie et Israël ont conjointement déjoué une tentative d'assassinat menée par l'Iran contre un homme d'affaires israélo-turc de 75 ans en Turquie, après une longue opération de renseignement qui a permis de dévoiler une cellule iranienne.

Le moment de la tentative d'assassinat a coïncidé avec les discussions de la Turquie en vue de normaliser les relations diplomatiques avec Israël, alors que le président, Isaac Herzog, devait se rendre prochainement dans le pays.

Elle est également survenue quelques jours avant la visite prévue du président turc, Recep Tayyip Erdogan, aux Émirats arabes unis dans le but de renforcer les relations et développer des projets de coopération conjoints pour la région.

Cette fois, les cibles du groupe de pirates en Turquie comprenaient le Conseil de la recherche scientifique et technologique de Turquie.

«Téhéran utilise la guerre électronique comme une extension de sa politique étrangère et de sécurité», a déclaré Jason M. Brodsky, directeur politique de United Against Nuclear Iran (Unis contre un Iran nucléaire), à Arab News.

«Les tactiques iraniennes comprennent le cyber espionnage, les cyberattaques et les opérations d'influence étrangère», a signalé Brodsky.

«La Turquie est depuis longtemps la cible de la cyber activité iranienne», a-t-il ajouté.

«Par exemple, en 2015, certains rapports ont retracé une importante panne de courant en Turquie à l’Iran. Le gouvernement américain a allégué que l'Institut Mabna, une société iranienne qui a parfois passé des contrats avec des entités gouvernementales iraniennes pour mener des opérations de piratage, a ciblé des universités en Turquie», a déclaré Brodsky.

Les experts conseillent aux institutions turques d'évaluer la cybermenace, d'appliquer périodiquement des mises à jour de sécurité à tous leurs systèmes, d'améliorer la préparation de leurs réseaux contre l'exposition aux activités malveillantes et de développer des solutions d'accès à distance à jour et d’accès à la messagerie électronique en ligne actualisées avec authentification multifactorielle.

Plus tôt cette année, l’US Cyber Command a attribué les activités de MuddyWater au ministère du Renseignement et de la Sécurité (MOIS) et a publié des échantillons de codes malveillants prétendument utilisés par les pirates iraniens pour aider les alliés américains à se défendre contre de futures tentatives d'intrusion.

Selon le service de recherche du Congrès américain, le MOIS «effectue une surveillance nationale pour identifier les opposants au régime. Il surveille également les militants anti-régime à l'étranger grâce à son réseau d'agents placés dans les ambassades iraniennes».

Brodsky a signalé que, dans le contexte actuel, les motivations de l'Iran peuvent être multiples pour des raisons économiques, de renseignement et politiques.

«Téhéran a largement essayé de tirer un prix de ses concurrents régionaux qui sont en train d'améliorer ou de normaliser leurs relations avec Israël, et une telle intensification en Turquie ne serait pas surprenante», a-t-il déclaré.

«Sans compter que les cyberattaques pourraient être liées aux allégations très publiques d'Ankara concernant l'activité des services de renseignement iraniens dans le pays, ciblant des dissidents et récemment un homme d'affaires israélien», a-t-il éclairci.

Selon Outzen, les sanctions contre les pays qui seraient à l'origine de ces attaques sont d'une utilité limitée car les principaux cyber acteurs préoccupants pour les États-Unis et leurs alliés, la Russie, la Chine et l'Iran, sont déjà lourdement sanctionnés.

«Les cyber collectifs qui mènent les attaques opèrent souvent sous la direction de l'appareil d'État, sans en faire formellement partie», a-t-il déclaré.

«Les sanctions doivent donc être combinées à la fois à une campagne de sensibilisation du public et à des pratiques de cybersécurité qui rendent les cibles plus difficiles à atteindre, ainsi qu’à des cyber opérations menées par les États-Unis et de leurs alliés contre les sources des attaques», a-t-il ajouté.

Outzen a avoué qu'il s'agit d'une guerre électronique de bas niveau en cours, dont la Turquie fait désormais partie.

«L’essentiel est de protéger ses propres actifs et d’imposer aux acteurs malveillants, en l’occurrence l'Iran, des coûts croissants pour leurs attaques», a-t-il soutenu.

Les relations entre Ankara et Téhéran ont récemment fluctué, les deux pays se livrant à une rivalité géopolitique dans la province d'Idlib, au nord-ouest de la Syrie, et dans le nord de l'Irak, notamment dans le district contesté de Sinjar.

La semaine dernière, la Turquie et Israël ont conjointement déjoué une tentative d'assassinat menée par l'Iran contre un homme d'affaires israélo-turc de 75 ans en Turquie, après une longue opération de renseignement qui a dévoilé une cellule iranienne.

Le 20 janvier, l'Iran a brusquement interrompu le flux de gaz naturel vers la Turquie. Cette perturbation a duré une dizaine de jours, sapant les opérations dans les usines.

 

Ce texte est la traduction d’un article paru sur Arabnews.com


Attentats à Damas: les autorités arrêtent des membres d'une cellule «affiliée à l'EI»

Les autorités syriennes ont annoncé jeudi soir l'arrestation des membres d'une cellule "affiliée à l'organisation Etat islamique" (EI) après deux attentats à la bombe survenus mardi à Damas pendant la visite du président français Emmanuel Macron. (AFP)
Les autorités syriennes ont annoncé jeudi soir l'arrestation des membres d'une cellule "affiliée à l'organisation Etat islamique" (EI) après deux attentats à la bombe survenus mardi à Damas pendant la visite du président français Emmanuel Macron. (AFP)
  • Les auteurs présumés ont été arrêtés simultanément dans "différents lieux à Damas et ses environs", avait auparavant précisé un communiqué du ministère, citant spécifiquement quatre quartiers
  • Deux d'entre eux abritent des membres de la communauté alaouite, dont est issu le clan de l'ex-président Bachar al-Assad

DAMAS: Les autorités syriennes ont annoncé jeudi soir l'arrestation des membres d'une cellule "affiliée à l'organisation Etat islamique" (EI) après deux attentats à la bombe survenus mardi à Damas pendant la visite du président français Emmanuel Macron.

"La cellule responsable des attaques terroristes qui ont ciblé Damas il y a deux jours est désormais entre nos mains", a déclaré sur X le ministre de l'Intérieur Anas Khattab.

"Une fois l'enquête terminée, nous révélerons au public l'identité des membres de la cellule, leur rôle ainsi que leurs affiliations", a ajouté le ministre de l'Intérieur.

Ahmad al-Dalati, chef de la sécurité intérieure pour la région de Damas, a plus tard déclaré à la télévision d'Etat syrienne que les premières investigations avaient montré que "la cellule était affiliée au groupe EI (Etat islamique)".

Les auteurs présumés ont été arrêtés simultanément dans "différents lieux à Damas et ses environs", avait auparavant précisé un communiqué du ministère, citant spécifiquement quatre quartiers. Deux d'entre eux abritent des membres de la communauté alaouite, dont est issu le clan de l'ex-président Bachar al-Assad.

Une personne est morte et 36 autres ont été blessées dans l'explosion quasi simultanée de deux bombes artisanales mardi matin, déposées à proximité de l'hôtel Four Seasons où M. Macron venait de passer la nuit.

L'une des bombes "artisanales" était placée dans une benne à ordures et l'autre dans un véhicule près de l'hôtel, dans le centre de la capitale, ont précisé les autorités.

Des journalistes de l'AFP ont vu des traces de sang sur le trottoir près du luxueux hôtel et les fenêtres du ministère du Tourisme, qui lui fait face, brisées.

A ce moment-là, le chef d'Etat était déjà parti pour s'entretenir avec son homologue Ahmad al-Chareh.

"A vos côtés" 

Lors d'une conférence de presse conjointe organisée après l'explosion, Emmanuel Macron a affirmé que ces attentats ne devaient pas "déstabiliser" la Syrie, qui sort d'une guerre civile de près de 14 ans (2011-2024).

Ahmad al-Chareh a pour sa part salué "le courage" du président français qui a maintenu sa visite.

Les deux pays se sont entendus pour reprendre les relations au niveau des ambassadeurs "le plus tôt possible" selon M. Chareh.

Il s'agissait de la première visite d'un dirigeant d'une puissance occidentale depuis l'arrivée au pouvoir d'une coalition islamiste après plus de 13 années de guerre civile.

Emmanuel Macron avait déjà été le premier dirigeant occidental à accueillir Ahmad al-Chareh, en mai 2025, s'affichant à l'Elysée avec cet ancien jihadiste.

Soutenue par Washington, la Syrie a rejoint l'an dernier la coalition internationale contre l'Etat islamique.

Le groupe jihadiste s'était emparé en 2014 de vastes territoires en Syrie avant d'être défait en 2019 par les forces kurdes syriennes, aidées par la coalition antijihadiste. Il conserve cependant des cellules dormantes et a appelé à défier le pouvoir.

Damas a connu plusieurs incidents au cours des derniers mois. Le 2 juillet, un attentat à la bombe perpétré dans un café du centre de la capitale a fait 10 morts et un vingtaine de blessés.


Le Liban annonce qu'une délégation américaine supervisera le début du retrait israélien

L'ambassadeur des Etats-Unis au Liban a informé le président libanais jeudi de la venue prochaine d'une délégation américaine pour superviser le début de l'application du retrait israélien de "zones pilotes" dans le sud, a rapporté la présidence. (AFP)
L'ambassadeur des Etats-Unis au Liban a informé le président libanais jeudi de la venue prochaine d'une délégation américaine pour superviser le début de l'application du retrait israélien de "zones pilotes" dans le sud, a rapporté la présidence. (AFP)
  • Reçu par le président libanais Joseph Aoun, l'ambassadeur américain Michel Issa l'a informé qu'une "délégation militaire arriverait à Beyrouth dans les prochains jours pour coordonner et définir le mécanisme de mise en œuvre sur le terrain" de la clause
  • "La première zone pilote sera lancée d'ici quelques jours, et d'autres zones pilotes sont actuellement à l'étude et en cours de planification", a précisé, sous couvert d'anonymat, un responsable américain à Washington

BEYROUTH: L'ambassadeur des Etats-Unis au Liban a informé le président libanais jeudi de la venue prochaine d'une délégation américaine pour superviser le début de l'application du retrait israélien de "zones pilotes" dans le sud, a rapporté la présidence.

Un accord-cadre conclu à Washington le 26 juin entre le Liban et Israël, en guerre depuis des décennies, prévoit que l'armée libanaise commence à se déployer dans des zones dont se retirerait Israël, qui occupe une partie du sud, sous réserve du désarmement du Hezbollah pro-iranien.

Reçu par le président libanais Joseph Aoun, l'ambassadeur américain Michel Issa l'a informé qu'une "délégation militaire arriverait à Beyrouth dans les prochains jours pour coordonner et définir le mécanisme de mise en œuvre sur le terrain" de la clause relative aux "zones pilotes", selon un communiqué de la présidence.

"La première zone pilote sera lancée d'ici quelques jours, et d'autres zones pilotes sont actuellement à l'étude et en cours de planification", a précisé, sous couvert d'anonymat, un responsable américain à Washington.

Il a déclaré que le commandement militaire américain pour le Moyen-Orient (Centcom) assurerait la coordination avec les deux pays concernant ces zones.

"Nous allons bientôt entamer des discussions avec des partenaires internationaux afin d'aider le gouvernement libanais à rétablir effectivement sa souveraineté dans ces zones, puis plus largement sur l'ensemble de son territoire", a ajouté ce responsable.

Il a confirmé que les discussions prévues à Rome les 15 et 16 juillet entre Israël et le Liban auraient bien lieu, après qu'une source diplomatique eut indiqué plus tôt à l'AFP que le Liban avait exigé un retrait israélien avant de participer aux pourparlers.

Le président libanais Joseph Aoun a de son côté appelé une nouvelle fois les Etats-Unis à "faire pression sur Israël". Il a également souligné, devant des visiteurs, "l'importance de parvenir à mettre fin à l'état d'hostilité" avec son voisin.

L'accord-cadre n'établit pas de calendrier de retrait du sud du Liban, où Israël a annoncé vouloir pour l'heure maintenir ses troupes dans une zone pouvant s'étendre jusqu'à dix kilomètres de sa frontière.

Il a été conclu à l'issue de cinq cycles de négociations entre le Liban et Israël, inédites depuis des décennies, à Washington.

Les négociations de Rome seront suivies par une visite de M. Aoun aux Etats-Unis, prévue le 21 juillet selon l'ambassade libanaise à Washington.

Le Hezbollah, qui a entraîné le Liban dans la guerre régionale en mars en soutien à Téhéran, est opposé aux négociations directes avec Israël et refuse d'être désarmé.

"Aucune clause de l'accord ne passera", a une nouvelle fois martelé cette semaine le chef du Hezbollah Naïm Kassem.


Gaza: des tirs israéliens font 9 morts, selon les secours

Neuf personnes ont été tuées mercredi par des tirs israéliens dans la bande de Gaza, selon la Défense civile et des sources médicales du territoire palestinien, ravagé par la guerre entre le Hamas et Israël. (AFP)
Neuf personnes ont été tuées mercredi par des tirs israéliens dans la bande de Gaza, selon la Défense civile et des sources médicales du territoire palestinien, ravagé par la guerre entre le Hamas et Israël. (AFP)
  • L'hôpital Nasser, situé dans le sud de Gaza à Khan Younès, a annoncé avoir reçu les dépouilles de quatre personnes, dont une femme, âgées de 10 à 39 ans et tuées dans une frappe aérienne visant une tente de déplacés
  • L'établissement a également indiqué avoir reçu le corps d'Ahmad Salim, un chauffeur de camion tué par des tirs israéliens à al-Mawasi, une zone située dans le sud de Gaza

GAZA: Neuf personnes ont été tuées mercredi par des tirs israéliens dans la bande de Gaza, selon la Défense civile et des sources médicales du territoire palestinien, ravagé par la guerre entre le Hamas et Israël.

La Défense civile, un organisme opérant sous l'autorité du mouvement islamiste Hamas, a recensé neuf morts en plusieurs endroits, dans des frappes aériennes et des tirs.

L'hôpital Nasser, situé dans le sud de Gaza à Khan Younès, a annoncé avoir reçu les dépouilles de quatre personnes, dont une femme, âgées de 10 à 39 ans et tuées dans une frappe aérienne visant une tente de déplacés.

L'établissement a également indiqué avoir reçu le corps d'Ahmad Salim, un chauffeur de camion tué par des tirs israéliens à al-Mawasi, une zone située dans le sud de Gaza.

L'armée israélienne a affirmé que M. Salim s'était dirigé en courant vers des soldats qui interrogeaient d'autres chauffeurs de camion interpellés.

Les soldats ont ouvert le feu dans sa direction après "avoir identifié une menace immédiate", a précisé l'armée, affirmant enquêter sur les autres incidents survenus mercredi.

L'hôpital Al-Chifa, à Gaza-ville, a de son côté déclaré avoir reçu quatre corps: celui d'un enfant tué par des tirs israéliens dans l'est de la ville, celui d'un homme tué dans une frappe aérienne dans l'ouest et deux autres tués dans un bombardement ayant visé un véhicule.

L'armée israélienne a confirmé à l'AFP avoir mené une frappe aérienne sur la ville de Gaza, mais a dit ne pas "être au courant" d'un bombardement dans l'ouest de la ville.

Israël et le Hamas s'accusent presque quotidiennement de violer le cessez-le-feu dans le territoire dévasté.

Au moins 1.084 Palestiniens y ont été tués depuis son entrée en vigueur en octobre, selon le ministère de la Santé du territoire, également placé sous l'autorité du Hamas et dont les chiffres sont jugés fiables par l'ONU.

Dans le même temps, Israël a recensé cinq soldats et un contractuel travaillant pour le ministère de la Défense tués dans le territoire palestinien.

Les restrictions imposées aux médias et l'accès limité à Gaza empêchent l'AFP de vérifier de manière indépendante les bilans ou de couvrir librement les violences sur place.