Incidents associés
Les agences de cybersécurité américaine et israélienne ont publié un nouvel avis attribuant à un groupe cybernétique iranien le ciblage des Jeux olympiques d'été de 2024 et la compromission d'un fournisseur d'affichage dynamique commercial français pour afficher des messages dénonçant la participation d'Israël à l'événement sportif.
L'activité a été imputée à une entité connue sous le nom d'Emennet Pasargad, qui, selon les agences, opère sous le nom d'Aria Sepehr Ayandehsazan (ASA) depuis la mi-2024. Elle est suivie par la communauté plus large de la cybersécurité sous les noms de Cotton Sandstorm, Haywire Kitten et Marnanbridge.
« Le groupe a fait preuve d’un nouveau savoir-faire dans ses efforts pour mener des opérations d’information cybernétiques jusqu’à la mi-2024 en utilisant une myriade de personnages de couverture, y compris plusieurs cyberopérations qui ont eu lieu pendant et ciblant les Jeux olympiques d’été de 2024 – y compris la compromission d’un fournisseur d’affichage dynamique commercial français », selon l’avis consultatif.
L’ASA, le Federal Bureau of Investigation (FBI) américain, le ministère du Trésor et la Direction nationale israélienne de la cybersécurité ont également déclaré avoir volé du contenu de caméras IP et utilisé des logiciels d’intelligence artificielle (IA) tels que Remini AI Photo Enhancer, Voicemod et Murf AI pour la modulation de la voix, et Appy Pie pour la génération d’images pour diffuser de la propagande.
Considéré comme faisant partie du Corps des gardiens de la révolution islamique d'Iran (IRGC), l'acteur de la menace est connu pour ses opérations de cyber-influence sous les noms personas Al-Toufan, Anzu Team, Cyber Cheetahs, Cyber Flood, For Humanity, Menelaus et Market of Data, entre autres.
Microsoft, dans un rapport publié la semaine dernière, a dénoncé Cotton Sandstorm pour avoir mené des « reconnaissances et des sondages limités » sur des sites Web liés aux élections dans certains États clés des États-Unis en avril 2024. ASA a également été associée à des activités de reconnaissance ciblant d'importantes publications médiatiques américaines en mai 2024.
L'une des tactiques nouvellement observées concerne l'utilisation de revendeurs d'hébergement fictifs pour fournir une infrastructure de serveur opérationnelle à ses propres fins ainsi qu'à un acteur au Liban pour héberger des sites Web affiliés au Hamas (par exemple, alqassam[.]ps).
« Depuis environ la mi-2023, ASA a utilisé plusieurs fournisseurs d'hébergement de couverture pour la gestion de l'infrastructure et l'obscurcissement », ont déclaré les agences. « Ces deux fournisseurs sont « Server-Speed » (server-speed[.]com) et « VPS-Agent » (vps-agent[.]net). »
« ASA a créé ses propres revendeurs et s'est procuré de l'espace serveur auprès de fournisseurs basés en Europe, notamment la société lituanienne BAcloud et Stark Industries Solutions/PQ Hosting (situées respectivement au Royaume-Uni et en Moldavie). ASA s'appuie ensuite sur ces revendeurs de couverture pour fournir des serveurs opérationnels à ses propres cyberacteurs pour des activités cybernétiques malveillantes. »
L'attaque dirigée contre le fournisseur d'affichage commercial français non identifié a eu lieu en juillet 2024 en utilisant l'infrastructure d'agent VPS. L'objectif était d'afficher des montages photo critiquant la participation d'athlètes israéliens aux Jeux olympiques et paralympiques de 2024.
De plus, ASA aurait tenté de contacter des membres de la famille d'otages israéliens après la guerre israélo-Hamas début octobre 2023 sous le pseudo Contact-HSTG et d'envoyer des messages susceptibles de « provoquer des effets psychologiques supplémentaires et d'infliger un traumatisme supplémentaire ».
L'acteur de la menace a également été lié à un autre personnage connu sous le nom de Cyber Court, qui a promu les activités de plusieurs groupes de hacktivistes clandestins gérés par lui-même sur une chaîne Telegram et un site Web dédié créé à cet effet (« cybercourt[.]io »).
Les deux domaines, vps-agent[.]net et cybercourt[.]io, ont été saisis à la suite d'une opération conjointe des forces de l'ordre menée par le bureau du procureur américain pour le district sud de New York (SDNY) et le FBI.
Ce n'est pas tout. Après le déclenchement de la guerre, l'ASA aurait poursuivi ses efforts pour recenser et obtenir le contenu des caméras IP en Israël, à Gaza et en Iran, ainsi que pour recueillir des informations sur les pilotes de chasse israéliens et les opérateurs de drones (UAV) via des sites comme knowem.com, facecheck.id, socialcatfish.com, ancestry.com et familysearch.org.
Cette nouvelle survient alors que le Département d'État américain a annoncé une récompense pouvant atteindre 10 millions de dollars pour toute information permettant d'identifier ou la localisation de personnes associées à un groupe de hackers associé au CGRI surnommé Shahid Hemmat pour avoir ciblé des infrastructures critiques américaines.
« Shahid Hemmat a ét�é lié à des cyberacteurs malveillants ciblant l'industrie de la défense américaine et les secteurs du transport international », a-t-il déclaré (https://rewardsforjustice.net/rewards/shahid-hemmat/).
« En tant que composant du [Commandement cyber-électronique] du CGRI-CEC, Shahid Hemmat est connecté à d'autres individus et organisations associés au CGRI-CEC, notamment : Mohammad Bagher Shirinkar, Mahdi Lashgarian, Alireza Shafie Nasab et la société écran Emennet Pasargad, Dadeh Afzar Arman (DAA) et Mehrsam Andisheh Saz Nik (MASN). »
Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire davantage de contenu exclusif que nous publions.