Vraisemblablement engagé par les services iraniens, le groupe de hackers MuddyWater a intensifié ses activités depuis neuf mois dans le cyberespace. Ses dernières victimes en date : les gouvernements d’Irak, du Pakistan et du Tadjikistan.

En proie à de nombreux conflits armés depuis plusieurs décennies, le Moyen-Orient et ses pays voisins mènent également une autre bataille plus souterraine et discrète : la cyberguerre. L’Iran, à titre d’exemple, est régulièrement cité dans divers rapports en la matière. À l’image de celui de ClearSky Cyber Security, qui se fait l’écho d’un piratage informatique lancé contre les gouvernements d’Irak, du Pakistan et du Tadjikistan.

Concordance douteuse

Au cœur de cette nouvelle affaire, un groupe de hackers surnommé MuddyWater, en référence à l’une des figures historiques du blues de Chicago du début du XXe siècle. Mais MuddyWater, fortement soupçonné de travailler pour le compte de l’administration iranienne, semble se cacher sous d’autres patronymes. C’est du moins ce que l’on peut supposer au regard des informations publiées par CyberScoop.

D’après ce dernier, cette organisation de cyberattaquants a vu ses outils d’espionnage être publiés sur la plateforme Telegram, par un autre pirate, en avril dernier. À l’époque déjà, cette cyberescouade faisait l’objet de suspicions avancées quant à ses relations étroites avec la République islamique susmentionnée… mais sous d’autres noms : APT34 ou OilRig, en l’occurrence. Difficile, donc, de ne pas faire le lien avec MuddyWater.

À l’époque, Muddy Water ensorcelait les rues de Chicago avec son blues si singulier. Aujourd’hui, il pénètre les systèmes informatiques à la recherche de données sensibles. // Crédit photo : Kevin Dooley via Flickr.

De septembre à décembre 2018, son activité a donné du fil à retordre à 131 victimes et 30 entreprises visées, de la Russie à l’Arabie Saoudite en passant par l’Amérique du Nord, selon un rapport de Symantec cité par CyberScoop. Et le début d’année 2019 se semble pas calmer leurs ardeurs, aux dépens de trois gouvernements : irakien, pakistanais et tadjik.

C’est avec une grande confiance que Ohad Zaidenberg, analyste chez ClearSky, attribue la cyberattaque à MuddyWater. Des documents et fichiers malveillants ont ainsi été utilisés pour cibler les organismes de télécommunication. Avec un procédé pour le moins avancé, car divisé en deux étapes distinctes. La première consistait à utiliser un leurre pour exploiter une vulnérabilité connue sur Microsoft Office, laquelle a permis d’exécuter du code à distance.

Une tentative de déstabilisation inefficace

Lors de la seconde phase offensive, les attaquants ont communiqué avec des serveurs piratés pour télécharger des fichiers infectés. Pour Ben Read, directeur de l’analyse du cyberespionnage chez FireEye, compromettre de tels services de télécommunication leur donne accès à des données sensibles utiles pour l’espionnage. Et donc utiles, si collaboration il y a, avec les services iraniens.

Surtout, la fuite de leurs outils observée il y a deux mois ne semble pas les avoir impactés. Autrement dit, les missions commandées par leurs « clients » se soldent généralement par un succès, malgré la tentative de déstabilisation. Preuve que MuddyWater dispose de techniques à la fois puissantes et affûtées, ou du moins assez sophistiquée pour pénétrer les systèmes de pays comme l’Irak, le Pakistan et le Tadjikistan. Avec ou sans l’aide d’un gouvernement allié.

Partager sur les réseaux sociaux