Un groupe de piratage iranien a lui-même été piraté par un groupe russe pour espionner plusieurs pays, ont révélé des agences de renseignement britanniques et américaines.
Le groupe de hackers iraniens – baptisé OilRig – a vu son activité compromise par un groupe basé en Russie, appelé Turla.
Les Russes ont utilisé le groupe iranien pour cibler d’autres victimes.
Une enquête du Centre national de la cybersécurité (NCSC), ouverte en 2017 à la suite d’une attaque contre un établissement universitaire britannique, a mis au jour ce double emploi.
Un espace extrêmement « encombré »
Le NCSC a découvert que l’attaque contre l’institution avait été perpétrée par le groupe russe Turla, qui, selon lui, utilisait les capacités et les outils d’OilRig, groupement basé en Iran.
Au cours d’une enquête qui a duré plusieurs mois, il est devenu évident que le groupe russe avait ciblé le groupe basé en Iran, puis utilisé ses outils et son accès pour collecter des données et compromettre d’autres systèmes.
Des attaques ont été découvertes contre plus de 35 pays, la majorité des victimes se trouvant au Moyen-Orient. Au moins 20 de ces attaques ont été compromises avec succès. L’ambition était de voler des secrets, plusieurs documents ont été dérobés à plusieurs cibles, y compris des gouvernements.
Les agences de renseignement ont déclaré que Turla avait à la fois trouvé des informations que les Iraniens volaient, mais dirigeait également leurs propres opérations en utilisant l’accès iranien afin de dissimuler leurs traces.
Les victimes auraient pu supposer qu’elles avaient été compromises par le groupe basé en Iran alors que le véritable coupable était bel et bien basé en Russie.
Il n’y a aucune preuve que l’Iran ait été complice ou conscient de l’utilisation par les Russes de leur accès ou que cette activité visait à fomenter des troubles entre pays, mais elle traduit de l’énorme complexité des cyber-opérations.
« Cela devient un espace très encombré », a expliqué Paul Chichester, directeur des opérations du NCSC, le bras protecteur du service de renseignement GCHQ.
Il a ajouté qu’il n’avait jamais vu auparavant une attaque aussi sophistiquée. Des fuites ont également été rapportées indiquant que les États-Unis et le Royaume-Uni possèdent des capacités similaires.
Le NCSC n’attribuerait pas directement les attaques des États russe et iranien, bien que Turla ait déjà été lié à des services de sécurité russes, notamment au FSB, tandis qu’OilRig l’a été avec l’État iranien.
« Nous pouvons les identifier »
L’enquête a été principalement menée au Royaume-Uni avec des détails révélés conjointement par le NCSC et la NSA, basée aux États-Unis. Un rapport sur Turla compromettant un autre groupe d’espionnage a été publié par la société de sécurité privée Symantec en juin.
M. Chichester a déclaré que le but de la publication des détails de l’enquête était d’aider globalement toute organisation à détecter ce genre d’activité et à se défendre.
« Nous voulons envoyer un message clair : même lorsque les cyber-acteurs cherchent à masquer leur identité, nous pouvons les identifier », a-t-il déclaré.
Laisser un commentaire