Un informaticien, en collaboration avec une société américaine de cybersécurité, a signalé la découverte d'un groupe de cyberespionnage iranien «très actif» dont la liste d'objectifs comprend principalement de grandes organisations et entreprises du Moyen-Orient.
La société de cybersécurité Symantec, créateur du logiciel antivirus Norton, qui a découvert l'existence du groupe de cyberespionnage, l'a surnommé «Leafminer». Selon la société de sécurité, le groupe est actif depuis le début de 2017, mais ce n'est qu'en 2018 qu'il a "intensifié considérablement ses activités" et est actuellement impliqué dans des dizaines d'attaques en cours.
Dans un rapport publié mercredi, Symantec a déclaré que ses experts en sécurité avaient réussi à obtenir ce qui semble être la principale liste des cibles de Leafminer. La liste est rédigée en langue farsi et contient un peu plus de 800 organisations, que les chercheurs de Symantec considèrent comme "une cible ambitieuse" pour tout groupe de cyberespionnage. Les organisations énumérées sur la feuille cible proviennent de divers secteurs, notamment le gouvernement, les transports, les finances, l'énergie et les télécommunications. Mais la plupart des cibles du groupe semblent se situer dans les secteurs pétrochimique et gouvernemental. De plus, la quasi-totalité des lentilles de Leafminer sont situées au Moyen-Orient et en Afrique du Nord, dans des pays comme Israël, l'Égypte, Bahreïn, le Qatar, le Koweït et les Émirats arabes unis. Certaines des cibles du groupe se trouvent en Afghanistan et en Azerbaïdjan.
Symantec a déclaré que ses chercheurs avaient observé que les pirates de Leafminer mènent des attaques en temps réel sur au moins 40 cibles au Moyen-Orient, y compris le site Web d'une agence de renseignement au Liban. Selon la société de cybersécurité, Leafminer utilise une variété d'outils de piratage, y compris des logiciels malveillants conçus sur mesure et certains logiciels accessibles au public. La sophistication opérationnelle du groupe est également diversifiée et va des attaques complexes à plusieurs niveaux aux tentatives de connexion par force brute.
Symantec a déclaré avoir conclu que le groupe de cyberespionnage venait d'Iran parce que sa principale liste de cibles est écrite en farsi et parce que l'Iran est à peu près le seul pays du Moyen-Orient à ne pas figurer sur la liste des cibles. Cependant, il a déclaré qu'il n'avait pas suffisamment de preuves pour relier Leafminer au gouvernement iranien. Dans un autre développement, l'agence de renseignement intérieure allemande, le Bureau fédéral pour la protection de la Constitution (BfV), a déclaré dans son rapport annuel de cette semaine que le gouvernement iranien avait considérablement étendu ses capacités de cyberguerre et " représente un danger pour les entreprises et les instituts de recherche allemands ».