Moyen-Orient : le conflit entre Israël et l’Iran est aussi cyber

Le conflit entre Israël et l’Iran et l’Iran bat son plein également dans le domaine cyber. Sans surprise, de nombreux hacktivistes se sont lancés dans la mêlée, avec 80 groupes pro-iraniens, 10 groupes pro-israéliens, et 14 groupes anti-Iran, selon l’inventaire de CyberKnow au 17 juin.

Leurs faits d’armes ? Majoritairement du déni de service distribué (DDoS), mais pas uniquement. L’enseigne Handala a ainsi revendiqué des cyberattaques contre sept organisations israéliennes depuis le 14 juin, après 4 mois de silence.

Ce groupe revendique ouvertement ses victimes depuis le printemps 2024, à la manière d’une habituelle enseigne de rançongiciel aux motivations crapuleuses. Ce qu’il n’est pas, à l’instar de Pay2Key ou Moses Staff.

Les chercheurs de Cisco Talos et de Splunk l’expliquaient en septembre dernier : « actif depuis au moins le 18 décembre 2023, Handala Hacking Team est un groupe d’hacktivistes pro-palestiniens qui cible principalement les organisations israéliennes, y compris celles qui soutiennent ou mènent des activités commerciales en Israël depuis leur apparition dans le paysage des menaces ».

Pourquoi ce nom ? « Handala fait référence au nom d’un personnage créé en 1969 par le dessinateur politique Naji al-Ali, qui est ensuite devenu un symbole d’identité et de défiance du peuple palestinien ».

Ce groupe ne verse pas uniquement dans le DDoS : « L’équipe de pirates informatiques Handala se distingue par l’utilisation d’un large éventail de tactiques et de techniques sophistiquées, notamment le vol de données, l’hameçonnage, l’extorsion, la défiguration de sites web et les attaques destructrices utilisant des logiciels malveillants de type “wiper” personnalisés, qui ciblent les environnements Windows et Linux ». Intezer s’était penché dessus en décembre 2023.

Predatory Sparrow (ou Gonjeshke Darande) a quant à lui revendiqué des cyberattaques contre les institutions financières iraniennes, à commencer par la banque Sepah. Le groupe l’accuse d’avoir contourné des sanctions internationales et « utilisé l’argent du peuple d’Iran pour financer les intermédiaires terroristes du régime, son programme de missiles balistiques, et son programme nucléaire militaire ». Il assure avoir « détruit les données » de la banque, ce qui n’a pas été indépendamment confirmé.

Pour autant, concrètement, plusieurs confrères étrangers rapportent une véritable paralysie des distributeurs de billets automatiques en Iran ; laquelle peut résulter d’un mouvement de panique dans le pays, saturant les systèmes de l’institution.

Mais le groupe de pirates ne s’est pas arrêté en si bon chemin : dans la foulée, il a revendiqué le vol de cryptoactifs à la plateforme d’échange iranienne Nobitex, pour une valeur totale de l’ordre de 48 millions de dollars. L’intéressée a confirmé. Selon le chercheur ZachXBT, le montant total volé est proche du double de celui initialement déclaré et les fonds ont été définitivement et irrémédiablement détruits.

De son côté, Téhéran a réduit la bande passante sur ses interconnexions internationales afin (selon le gouvernement) de réduire le risque de cyberattaque.