Microsoft a révélé, début juin, avoir identifié et déjoué les attaques d’un groupe de hackers basé au Liban. Répondant au nom de Polonium, ces pirates informatiques sont suspectés de travailler pour le compte du Ministère du Renseignement de la République islamique d'Iran (VAJA).

Des pirates libanais missionnés par l’Iran

Le Microsoft Threat Intelligence Center (MSTIC) a annoncé avoir suspendu plus de 20 comptes OneDrive malveillants. Les cybercriminels auraient utilisé la plateforme de stockage cloud de Microsoft pour stocker des données volées afin de les utiliser plus tard dans le cadre de leurs attaques.

Au cours de ces trois derniers mois, Polonium se serait servi de ses profils pour compromettre une vingtaine d’organisations basées en Israël ainsi qu’une organisation intergouvernementale ayant des activités au Liban. Les cybercriminels ont ciblé principalement les entreprises israéliennes du secteur de l’informatique et de l’industrie de défense. Microsoft indique qu’une des attaques « a compromis une société informatique pour viser une société d’aviation et un cabinet d’avocat en prévision d’une attaque de leur chaîne d’approvisionnement. Ils se sont servis d’informations d’identification dérobées aux fournisseurs de service pour accéder aux réseaux ». Les noms des organisations victimes de ces agissements n’ont pas été dévoilés.

Pour le moment, le MSTIC affirme que le groupe Polonium agirait depuis le Liban. Les chercheurs de Microsoft se montrent plus prudents en reliant ces actes au VAJA. « Nous estimons également avec une confiance modérée que l’activité a été coordonnée avec d’autres acteurs affiliés au VAJA, principalement en raison des victimes communes et de la similitude des outils et des techniques utilisées », explique l’entreprise dans son communiqué.

D’après l’enquête de Microsoft, des membres du VAJA auraient fourni à Polonium les accès compromis de certaines victimes. « Une telle collaboration voire direction de la part de Téhéran s’alignerait avec la série de révélations selon lesquelles le gouvernement iranien utilise depuis 2020 des tiers pour mener des cyberattaques en son nom », précise le MSTIC.

Les hackers libanais auraient profité d’une faille de sécurité bien connue au sein des logiciels émis par l’entreprise de cybersécurité Fortinet : la vulnérabilité CVE-2018-13379. À cause de cette brèche, une liste de 500 000 identifiants et mots de passe Fortinet avait fuité sur Internet l’année dernière.

L’Iran maîtrise le cyberespionnage du bout des doigts

L’Iran est passé maître dans l’art des cyberattaques. En 2010, à la suite d’un important piratage visant les ordinateurs utilisés dans son programme nucléaire, le pays a décidé d’investir dans le cyberespace. En 2012, fort de ses nouvelles capacités, il a détruit près de 30 000 ordinateurs de l'entreprise pétrolière Aramco, en Arabie saoudite.

Fin 2020, Microsoft alertait déjà quant à la possible implication de l’Iran dans le piratage de boîtes mails de journalistes américains et d’un candidat à l’élection présidentielle des États-Unis. Depuis, les autorités américaines se méfient des offensives et craignent pour leurs entreprises de télécommunications et du secteur de l'énergie.

Plus récemment, l’Iran avait été soupçonné d’avoir conduit l’une des cyberattaques les plus importantes de l’histoire d’Israël. Tous les sites du gouvernement israélien étaient inaccessibles après une puissante attaque par déni de service (DDoS). Après tout, l’Iran s’est, depuis des années, placé comme un opposant d’Israël avec à ses côtés le Liban. De quoi renforcer l’hypothèse soulevée par Microsoft qui désigne Téhéran comme le cerveau derrière les comptes OneDrive malveillants.