Une cyberattaque contre le gouvernement albanais suggère une nouvelle agression iranienne

À la mi-juillet, une cyberattaque contre le gouvernement albanais a mis hors service les sites Web de l’État et les services publics pendant des heures. Avec la guerre russe qui fait rage en Ukraine, le Kremlin peut sembler être le suspect le plus probable. Mais des recherches publiées jeudi par la société de renseignements sur les menaces Mandiant attribuent l’attaque à l’Iran. Et tandis que les opérations d’espionnage et l’ingérence numérique de Téhéran se sont manifestées dans le monde entier, les chercheurs de Mandiant affirment qu’une attaque perturbatrice de l’Iran contre un membre de l’OTAN est une escalade notable.

Les attaques numériques visant l’Albanie le 17 juillet ont précédé le “Sommet mondial de l’Iran libre”, une conférence qui devait se tenir dans la ville de Manëz, dans l’ouest de l’Albanie, les 23 et 24 juillet. Le sommet était affilié au groupe d’opposition iranien Mujahadeen- e-Khalq, ou l’Organisation des Moudjahidine du peuple d’Iran (souvent abrégée MEK, PMOI ou MKO). La conférence a été reportée la veille de son ouverture en raison de menaces «terroristes» signalées et non précisées.

Les chercheurs de Mandiant affirment que les attaquants ont déployé des rançongiciels de la famille Roadsweep et ont peut-être également utilisé une porte dérobée auparavant inconnue, surnommée Chimneysweep, ainsi qu’une nouvelle souche de l’essuie-glace Zeroclear. L’utilisation passée de logiciels malveillants similaires, le moment des attaques, d’autres indices de la note sur le rançongiciel Roadsweep et l’activité d’acteurs revendiquant la responsabilité des attaques contre Telegram pointent tous vers l’Iran, dit Mandiant.

“Il s’agit d’une étape d’escalade agressive que nous devons reconnaître”, déclare John Hultquist, vice-président du renseignement chez Mandiant. “L’espionnage iranien se produit tout le temps partout dans le monde. La différence ici est que ce n’est pas de l’espionnage. Ce sont des attaques perturbatrices, qui affectent la vie des Albanais ordinaires qui vivent au sein de l’alliance de l’OTAN. Et c’était essentiellement une attaque coercitive pour forcer la main du gouvernement.”

L’Iran a mené des campagnes de piratage agressives au Moyen-Orient et en particulier en Israël, et ses pirates soutenus par l’État ont pénétré et sondé des organisations de fabrication, d’approvisionnement et d’infrastructures critiques. En novembre 2021, les gouvernements américain et australien ont averti que les pirates informatiques iraniens travaillaient activement pour accéder à un éventail de réseaux liés aux transports, aux soins de santé et aux entités de santé publique, entre autres. “Ces acteurs APT parrainés par le gouvernement iranien peuvent tirer parti de cet accès pour des opérations de suivi, telles que l’exfiltration ou le cryptage de données, les rançongiciels et l’extorsion”, écrivait à l’époque l’Agence de cybersécurité et de sécurité des infrastructures du Département de la sécurité intérieure.

Cependant, Téhéran a limité la portée de ses attaques, s’en tenant en grande partie à l’exfiltration de données et à la reconnaissance sur la scène mondiale. Le pays a cependant participé à des opérations d’influence, à des campagnes de désinformation et à des efforts pour se mêler d’élections étrangères, notamment en ciblant les États-Unis.

“Nous nous sommes habitués à voir l’Iran être agressif au Moyen-Orient où cette activité n’a jamais cessé, mais en dehors du Moyen-Orient, ils ont été beaucoup plus restreints”, a déclaré Hultquist. « Je crains qu’ils ne soient plus enclins à tirer parti de leurs capacités en dehors de la région. Et ils n’ont clairement aucun scrupule à cibler les États de l’OTAN, ce qui me suggère que, quels que soient les moyens de dissuasion qui, selon nous, existent entre eux et nous, ils n’existent peut-être pas du tout.

Avec l’Iran affirmant qu’il a maintenant la capacité de produire des ogives nucléaires, et des représentants du pays rencontrant des responsables américains à Vienne au sujet d’une éventuelle relance de l’accord nucléaire de 2015 entre les pays, tout signal sur les intentions possibles de l’Iran et sa tolérance au risque lorsqu’il s’agit à traiter avec l’OTAN sont importants.

Cette histoire est apparue à l’origine sur wired.com.