Google dénonce un groupe de cyberespionnage iranien
Par
Mehdi Oghbai
Mandiant, une unité de cybersécurité de Google, a publié un rapport le jeudi 19 septembre, dénoncant un groupe cybernétique secret parrainé par l’État iranien connu sous le nom de UNC1860. Le groupe, qui serait affilié au ministère iranien du Renseignement et de la Sécurité (MOIS), a été actif dans l’infiltration de réseaux hautement prioritaires à travers le Moyen-Orient, y compris les secteurs gouvernementaux et des télécommunications.
Le rapport, intitulé « UNC1860 et le Temple de l’avoine : la main cachée de l’Iran dans les réseaux du Moyen-Orient », décrit comment UNC1860 utilise un ensemble sophistiqué d’outils et de portes dérobées passives pour maintenir un accès à long terme aux réseaux compromis. Mandiant estime que le groupe sert de « fournisseur d’accès initial » pour les opérations destructrices menées par d’autres unités cybernétiques liées à l’Iran, faisant écho aux méthodes d’autres groupes connus comme Shrouded Snooper et Scarred Manticore.
Bien que Mandiant ne puisse pas confirmer l’implication directe de l’UNC1860 dans des attaques de grande envergure telles que l’attaque Wiper d’octobre 2023 contre Israël ou les attaques ROADSWEEP de 2022 en Albanie, le rapport note la contribution probable du groupe en fournissant un accès précoce aux réseaux ciblés. Les contrôleurs de logiciels malveillants spécialisés du groupe, TEMPLEPLAY et VIROGREEN, sont mis en évidence comme des composants clés permettant aux opérateurs distants d’accéder et de contrôler facilement les systèmes infectés.
La boîte à outils de l’UNC1860 comprend des capacités avancées telles que la rétro-ingénierie des composants Windows, leur permettant d’exploiter les vulnérabilités tout en échappant à la détection. Parmi son arsenal figure un pilote réutilisé d’un logiciel antivirus iranien, qui reflète l’expertise technique du groupe en matière de manipulation du noyau Windows. Ces portes dérobées permettent au groupe de surveiller et de contrôler furtivement les systèmes compromis, ce qui en fait une menace persistante dans toute la région.
Le rapport note également les liens du groupe avec APT34, un autre groupe de cyberespionnage iranien. Les deux groupes ont été observés en train de cibler des entités en Irak, en Arabie saoudite et au Qatar, l’UNC1860 exploitant les systèmes compromis pour analyser et exploiter d’autres réseaux.
Les conclusions de Mandiant soulignent les capacités croissantes des cyberacteurs iraniens à mener des opérations d’espionnage et de sabotage à travers le Moyen-Orient. Les tensions restent élevées dans la région, la capacité du groupe à maintenir un accès prolongé aux réseaux critiques représente une menace importante pour la sécurité.