Groupe de cybersécurité : les opérations ciblant les sites du gouvernement iranien ont été exécutées en interne en Iran

Un important groupe de cybersécurité a enquêté sur les opérations contre les sites Web gouvernementaux en Iran et a conclu qu'en raison de la structure de l'Internet iranien et de sa séparation de l'Internet mondial, les opérations contre les sites Web gouvernementaux, y compris ceux appartenant à la radio et à la télévision d'État le 27 janvier 2022, le ministère des Affaires étrangères le 7 mai 2023 et le bureau du président le 29 mai 2023 ont été menés par infiltration et ne peuvent pas être le résultat d'une pénétration depuis l'extérieur de l'Iran.

Ces dernières années, le groupe de cybersécurité Treadstone71 a publié plusieurs rapports sur le gouvernement iranien et ses cyberattaques et est devenu une autorité dans ce domaine.

Le rapport Treadstone71 souligne que les attaques majeures contre les sites du gouvernement iranien ont très probablement été menées par des intrusions depuis l'intérieur de l'Iran, en particulier par des initiés ayant accès à ces systèmes.

De très nombreux sites Internet des plus importants du gouvernement iranien, ainsi que les systèmes en ligne de la municipalité de Téhéran et les réseaux nationaux de radio et de télévision, ont été soumis à des attaques massives depuis janvier 2022.

Le groupe "Gyamsarnegouni (« Soulèvement jusqu'au renversement ») a assumé la responsabilité des principales attaques et a divulgué de nombreux documents internes du gouvernement iranien sur son compte Telegram. Le groupe a dégradé les pages d'accueil d'un certain nombre de sites Web, publiant des images barrées du guide suprême Ali Khamenei et plaçant des photos de dirigeants de l'opposition iranienne.

En 2022, les structures et services Internet du gouvernement albanais ont été la cible d'une cyberattaque massive, qui a causé de nombreux problèmes. Une enquête approfondie menée par Microsoft et d'autres a pointé du doigt Téhéran.

Selon l’évaluation de Treadstone71, « l’Iran mène depuis longtemps des attaques de cybersécurité et, selon certaines statistiques, se classe au cinquième rang des pays connus pour cibler leurs adversaires par le biais de la cyberguerre ».

Publicité

« Par mesure de sécurité », note Treadstone71 dans son rapport, « l'Iran a décidé de déplacer ses sites Web gouvernementaux des serveurs d'hébergement européens vers des sociétés d'hébergement nationales, dans le cadre de son « Internet national » » et, par conséquent, « tous les gouvernements et tous les États Les sites Web contrôlés par l'État ont été déplacés des serveurs d'hébergement européens et américains vers des hôtes nationaux » et « l'accès à certains sites Web contrôlés par le gouvernement et l'État a été limité à « l'Internet national », les rendant inaccessibles via l'Internet mondial.

Le rapport Treadstone71 souligne : « Nous avons également été témoins d’un autre type d’attaque, distinct de celles infiltrant des sites Web gouvernementaux sur des services d’hébergement iraniens vulnérables ; ceux réalisés par Gyamsarnegouni (« Soulèvement jusqu'au renversement »). Les attaques menées par ce groupe comptent parmi les infiltrations les plus profondes contre les réseaux du gouvernement iranien.»

Le rapport note:

Ces attaques se sont démarquées par trois caractéristiques clés :

1. L’ampleur de l’infiltration dans les réseaux gouvernementaux les plus sécurisés, comparable uniquement à l’attaque Stuxnet (qui utilisait une clé USB).

2. Le volume des documents exfiltrés.

3. L'accès généralisé aux serveurs et aux ordinateurs.

Le rapport Treadstone71 souligne que les réseaux de radio et de télévision d’État, en particulier dans les pays non démocratiques comme l’Iran, « comptent parmi les réseaux les plus isolés et les plus protégés ». Il ajoute : « Le réseau de radiodiffusion interne de l'Iran n'est pas connecté à Internet et est gravement isolé ; ce qui signifie qu’il est physiquement isolé d’Internet et n’est accessible que de l’intérieur… La seule façon pour un étranger d’accéder au réseau serait par infiltration physique »

En janvier 2022, les médias iraniens ont souligné que les institutions gouvernementales pensaient que cette attaque avait été menée par des individus qui détenaient des informations privilégiées sur les systèmes de radio et de télévision iraniens.

L'attaque contre les sites Internet de la municipalité de Téhéran le 2 juin 2022 comprenait l'intrusion de 5,000 71 caméras utilisées pour le contrôle de la circulation et la reconnaissance faciale. Selon TreadstoneXNUMX, les pirates « savaient que les caméras n’étaient pas connectées à Internet et qu’il leur faudrait accéder physiquement aux caméras pour les pirater ».

Mais les découvertes les plus surprenantes de Treadstone71 sont liées aux deux attaques très médiatisées et accrocheuses de Gyamsarnegouni en mai 2023.

Lors de l'attaque du site Internet du ministère iranien des Affaires étrangères, les pirates ont eu accès à 50 téraoctets de données provenant des archives du ministère. L'évaluation de Treadstone71 est que cela nécessitait « une pénétration dans les couches les plus internes de cet organisme gouvernemental. La nature des documents divulgués indique que ces documents seraient inaccessibles depuis Internet, ce qui renforce encore les soupçons d'implication interne. »

L'expertise de Treadstone71 a conclu que « le transfert de 50 To de données ne serait pas possible à distance – et sur un réseau filtré comme celui de l'Iran », et a ajouté que l'ampleur même du piratage est également révélatrice de la manière dont il a été réalisé.

« La vitesse normale de téléchargement sur Internet en Iran est de 11.8 mégabits par seconde. Télécharger 50 téraoctets de données du ministère iranien des Affaires étrangères à cette vitesse prendrait plus de 392 jours, soit plus d'un an de temps de téléchargement ininterrompu, et l'Internet iranien tombe fréquemment en panne, est limité par le gouvernement et connaît régulièrement des coupures de courant provoquées par le gouvernement. », indique le rapport.

« Sur la base de ces chiffres, une telle attaque est très probablement survenue à partir d’un accès direct aux données. »

Dans le cadre de l'attaque du site Internet du bureau présidentiel, les pirates ont piraté les systèmes de communication les plus sécurisés du gouvernement et obtenu des dizaines de milliers de documents datant de quelques mois à peine.

Selon un expert iranien, ce site « utilisait une adresse IP dédiée et impénétrable ».

"Le fait que les pirates aient eu accès à des dizaines de milliers de documents datant de quelques mois à peine suggère également que l'attaque était menée par des initiés. Ces documents auraient été stockés sur des ordinateurs avec un accès limité à Internet, et il aurait été difficile pour qu'un étranger y ait accès", a déclaré Treadstone71.

Le rapport concluait en disant : « Le gouvernement iranien a d’abord attribué la responsabilité aux adversaires étrangers. Cependant, les experts en cybersécurité et les preuves de plus en plus nombreuses suggèrent une implication interne.

Partagez cet article: