Au cœur du cyber-manuel iranien : IA, faux hébergements et guerre psychologique
Les agences de cybersécurité américaine et israélienne ont publié un nouvel avis attribuant à un groupe cybernétique iranien le ciblage des Jeux olympiques d’été de 2024 et la compromission d’un fournisseur français d’affichage dynamique commercial pour afficher des messages dénonçant la participation d’Israël à l’événement sportif.
L’activité a été imputée à une entité connue sous le nom d’ Emennet Pasargad , qui, selon les agences, opère sous le nom d’Aria Sepehr Ayandehsazan (ASA) depuis la mi-2024. Elle est suivie par la communauté plus large de la cybersécurité sous les noms de Cotton Sandstorm, Haywire Kitten et Marnanbridge.
« Le groupe a fait preuve d’un nouveau savoir-faire dans ses efforts pour mener des opérations d’information cybernétiques jusqu’à la mi-2024 en utilisant une myriade de personnages de couverture, y compris de multiples cyberopérations qui ont eu lieu pendant et ciblant les Jeux olympiques d’été de 2024 – y compris la compromission d’un fournisseur français d’affichage dynamique commercial », selon l’ avis .
L’ASA, le Federal Bureau of Investigation (FBI) des États-Unis, le Département du Trésor et la Direction nationale israélienne de la cybersécurité ont également déclaré avoir volé le contenu des caméras IP et utilisé des logiciels d’intelligence artificielle (IA) tels que Remini AI Photo Enhancer, Voicemod et Murf AI pour la modulation de la voix, et Appy Pie pour la génération d’images pour diffuser de la propagande .
Considéré comme faisant partie du Corps des gardiens de la révolution islamique (IRGC) d’Iran, l’acteur de la menace est connu pour ses opérations de cybersécurité et d’influence sous les noms d’ Al-Toufan, Anzu Team, Cyber Cheetahs, Cyber Flood, For Humanity, Menelaus et Market of Data, entre autres.
L’une des tactiques nouvellement observées concerne l’utilisation de revendeurs d’hébergement fictifs pour fournir une infrastructure de serveur opérationnelle à ses propres fins ainsi qu’à un acteur au Liban pour héberger des sites Web affiliés au Hamas (par exemple, alqassam[.]ps).
« Depuis environ la mi-2023, l’ASA a fait appel à plusieurs fournisseurs d’hébergement de couverture pour la gestion de l’infrastructure et l’obfuscation », ont déclaré les agences. « Ces deux fournisseurs sont ‘Server-Speed’ (server-speed[.]com) et ‘VPS-Agent’ (vps-agent[.]net). »
« ASA a créé ses propres revendeurs et acheté de l’espace serveur auprès de fournisseurs basés en Europe, notamment la société lituanienne BAcloud et Stark Industries Solutions/PQ Hosting (situées respectivement au Royaume-Uni et en Moldavie). ASA s’appuie ensuite sur ces revendeurs de couverture pour fournir des serveurs opérationnels à ses propres cyberacteurs pour des activités cybernétiques malveillantes. »
L’attaque contre le fournisseur d’affichage commercial français non identifié a eu lieu en juillet 2024 en utilisant l’infrastructure d’agent VPS. Elle visait à afficher des montages photo critiquant la participation d’athlètes israéliens aux Jeux olympiques et paralympiques de 2024.
En outre, ASA aurait tenté de contacter des membres des familles d’otages israéliens après la guerre israélo-Hamas début octobre 2023 sous le nom de Contact-HSTG et d’envoyer des messages susceptibles de « provoquer des effets psychologiques supplémentaires et d’infliger de nouveaux traumatismes ».
L’acteur de la menace a également été lié à une autre personne connue sous le nom de Cyber Court, qui a promu les activités de plusieurs groupes de hacktivistes clandestins gérés par lui-même sur une chaîne Telegram et un site Web dédié créé à cet effet (« cybercourt[.]io »).
Les deux domaines, vps-agent[.]net et cybercourt[.]io, ont été saisis à la suite d’une opération policière conjointe menée par le bureau du procureur américain pour le district sud de New York (SDNY) et le FBI.
Ce n’est pas tout. Après le déclenchement de la guerre, l’ASA aurait poursuivi ses efforts pour recenser et obtenir le contenu des caméras IP en Israël, à Gaza et en Iran, ainsi que pour recueillir des informations sur les pilotes de chasse israéliens et les opérateurs de drones (UAV) via des sites comme knowem.com, facecheck.id, socialcatfish.com, ancestry.com et familysearch.org.
/>Cette évolution intervient alors que le Département d’État américain a annoncé une récompense pouvant aller jusqu’à 10 millions de dollars pour toute information permettant d’identifier ou de localiser des personnes associées à un groupe de pirates informatiques associé au CGRI, surnommé Shahid Hemmat, pour avoir ciblé des infrastructures critiques américaines.
« Shahid Hemmat a été lié à des cyberacteurs malveillants ciblant l’industrie de la défense américaine et les secteurs du transport international », a-t-il déclaré .
« En tant que composant de l’IRGC-CEC [Cyber-Electronic Command], Shahid Hemmat est connecté à d’autres individus et organisations associés à l’IRGC-CEC, notamment : Mohammad Bagher Shirinkar, Mahdi Lashgarian, Alireza Shafie Nasab et la société écran Emennet Pasargad, Dadeh Afzar Arman (DAA) et Mehrsam Andisheh Saz Nik (MASN). »