Des chercheurs en cybersécurité affirment qu’un groupe de piratage lié à l’État iranien, connu sous le nom de Seedworm, a obtenu l’accès à plusieurs organisations liées aux infrastructures critiques aux États-Unis et en Israël, soulevant des inquiétudes quant à d’éventuelles opérations cybernétiques ciblant des industries clés.
Selon les résultats published by Symantec and Carbon Black du renseignement sur les menaces, le groupe a maintenu un accès secret à plusieurs réseaux depuis début février. Seedworm, que l’Agence américaine de cybersécurité et de sécurité des infrastructures décrit comme liée au ministère iranien du Renseignement et de la Sécurité, est connu pour ses campagnes d’espionnage cybernétique ciblant des gouvernements et des industries stratégiques.
Les chercheurs ont indiqué que les hackers avaient utilisé un malware de porte dérobée jusque-là non documenté appelé Dindoor pour accéder sans autorisation aux systèmes des victimes. Cet outil permet aux attaquants de maintenir un contrôle persistant sur des réseaux compromis tout en restant difficile à détecter. Une fois installée, la porte dérobée permet l’exécution à distance de commandes et la surveillance continue des systèmes internes.
L’enquête a identifié plusieurs organisations affectées par l’intrusion. Cela inclut une banque américaine, une entreprise technologique opérant en Israël, un aéroport et plusieurs organisations non gouvernementales situées aux États-Unis et au Canada. Les équipes de sécurité de ces organisations auraient détecté une activité réseau suspecte liée à la faille.
Les chercheurs ont noté que ces attaques sont survenues peu après les frappes militaires des États-Unis et d’Israël contre des cibles en Iran, qui ont commencé le 28 février. Bien que le rapport ne relie pas directement ces intrusions à ces événements, les analystes ont indiqué que le calendrier souligne comment les tensions géopolitiques peuvent coïncider avec une augmentation de l’activité cybernétique de groupes alignés sur les États.
Seedworm est actif depuis plusieurs années et est également connu sous les noms MuddyWater et Mango Sandstorm dans divers systèmes de suivi de renseignements sur les menaces. Le groupe a historiquement ciblé des organisations au Moyen-Orient, notamment des agences gouvernementales, des fournisseurs de télécommunications et des opérateurs régionaux d’infrastructures.
Les dernières conclusions suggèrent que le groupe a élargi son champ d’action au-delà du Moyen-Orient. Les chercheurs ont indiqué que les activités récentes montrent un schéma de ciblage plus large incluant des organisations en Amérique du Nord, en Europe, en Afrique et en Asie. Des secteurs critiques comme la banque, l’aviation et la technologie semblent particulièrement intéressants.
Les analystes de la sécurité estiment que la présence d’attaquants à l’intérieur des réseaux n’indique pas nécessairement que des opérations destructrices sont imminentes. Cependant, un accès à long terme peut permettre aux acteurs malveillants de recueillir des renseignements, de cartographier l’infrastructure réseau et de se préparer à d’éventuelles opérations de suivi.
Cette découverte intervient alors que les agences de cybersécurité et des chercheurs privés avertissent que l’activité cybernétique liée à des conflits géopolitiques pourrait augmenter. Les analystes suivant les acteurs menaçants alignés sur l’Iran affirment que les efforts de reconnaissance et d’infiltration ont souvent lieu avant des opérations perturbatrices visant les infrastructures ou les systèmes gouvernementaux.
Les organisations opérant dans des secteurs sensibles sont invitées à revoir les pratiques de surveillance réseau et à enquêter sur des activités d’authentification inhabituelles pouvant indiquer un accès persistant. L’enquête sur les intrusions de Seedworm reste en cours alors que les chercheurs poursuivent l’analyse du malware et de l’étendue des réseaux affectés.