Newsroom
Le meilleur de l’actualité au fil des événements

Connectez-vous

Mot de passe oublié ?

Abonnez-vous !

Découvrez l'offre de lancement du Desk

60 DH
1 mois
Découvrir les offres
11.11.2021 à 01 H 26 • Mis à jour le 11.11.2021 à 06 H 21
Par
Hacking

L’Iran a mené des cyberattaques ciblant des intérêts stratégiques au Maroc

Le groupe de cybercriminels iranien Lyceum. Illustration. DR
Entre juillet et octobre, des pirates iraniens du groupe Lyceum ont attaqué les réseaux d’au moins une entreprise de télécommunications et des fournisseurs d'accès Internet au Maroc, selon des chercheurs en cybersécurité d'Accenture Cyber Threat Intelligence (ACTI) et de Prevailion Adversarial Counterintelligence (PACT)

Le groupe de cyberattaque Lyceum basé en Iran (également connu sous le nom d’Hexane, Siamesekitten et Spirlin), a ciblé le Maroc, mais aussi Israël, l’Arabie Saoudite, la Tunisie et d’autres pays africains. Deux sociétés – Accenture, qui possède une succursale en Israël, et Prevailion, basée aux États-Unis – ont publié le 9 novembre des recherches dans ce sens qui ont retracé les cyberattaques entre juillet et octobre.


Alors que les sociétés de sécurité informatique Clearsky et Kaspersky avaient déjà publié des informations sur les attaques répétées de Lyceum depuis 2017, notamment contre des intérêts stratégiques de certains pays, le nouveau rapport divulgue « des détails sur les dernières opérations, y compris les nouvelles victimes, les zones géographiques et les industries ciblées » analysant plus en détail l’infrastructure opérationnelle et le ciblage des hackeurs iraniens.


La nouvelle étude corrobore les conclusions précédentes « indiquant que l’accent est mis principalement sur les événements d’intrusion dans les réseaux informatiques destinés aux fournisseurs de télécommunications au Moyen-Orient ». Elle identifie de plus des cibles supplémentaires au sein des fournisseurs de services Internet (FAI) et des agences gouvernementales des pays précités.


Les sociétés de télécoms comme cheval de Troie

Lyceum a élargi son objectif pour inclure les FAI et les organismes gouvernementaux. L’une des raisons pour lesquelles les entreprises de télécommunications et les FAI sont des cibles de haut niveau pour les acteurs du cyberespionnage est que leur « compromission donne accès à diverses organisations et fichiers d’abonnés en plus des systèmes internes qui peuvent être utilisés pour tirer encore plus parti des comportements malveillants », note la recherche.


De plus, les entreprises de ces secteurs peuvent également être « utilisées par des acteurs de la menace ou leurs sponsors pour surveiller les personnes d’intérêt ». Lyceum a, selon le groupe Cyber ​​Threat Intelligence (ACTI) d’Accenture et l’Adversarial Counterintelligence Team (PACT) de Prevailion, utilisé deux principales familles de logiciels malveillants, appelées Shark et Milan (alias James).


« Entre juillet et octobre 2021, les portes dérobées du Lyceum semblent avoir ciblé des FAI et des opérateurs de télécommunications en Israël, au Maroc, en Tunisie et en Arabie saoudite, ainsi qu’un ministère des Affaires étrangères en Afrique », est-il révélé.


« Lorsque l’équipe ACTI/PACT a interrogé l’ensemble de données Prevailion pour les chemins d’URL codés en dur connus précédemment référencés (contact.aspx, Default.aspx, preview.aspx et team.aspx) observés dans les échantillons de Milan, les chercheurs ont observé la poursuite du balisage à partir d’une adresse IP qui a résolu à un opérateur de télécommunications au Maroc », a noté l’étude.


« On ne sait pas si les balises de porte dérobée de Milan proviennent d’un client de l’opérateur de télécommunications marocain ou de systèmes internes au sein de l’opérateur. Cependant, étant donné que Lyceum a historiquement ciblé les fournisseurs de télécommunications et que l’équipe de Kaspersky a identifié un ciblage récent des opérateurs de télécommunications en Tunisie, il s’ensuit que Lyceum cible d’autres sociétés de télécommunications d’Afrique du Nord. L’équipe de recherche ACTI/PACT évalue donc que l’activité milanaise observée émane vraisemblablement directement de l’opérateur de télécommunications marocain », poursuit la recherche.


Fin octobre 2021, l’équipe ACTI/PACT a identifié le balisage à partir d’une porte dérobée reconfigurée ou éventuellement d’une nouvelle porte dérobée du Lyceum.


En février dernier, le ministre des Affaires étrangères, Nasser Bourita, faisait état de la menace iranienne qui pèse sur la région et sur le Maroc en particulier. Des propos qui font écho à ceux qu’il avait avancés lui-même en 2018, lorsque le Maroc avait accusé l’Iran et le Hezbollah de financer et de coopérer avec le Polisario. Le diplomate en chef avait choisi d’accorder une interview fleuve à la lobbyiste Caroline Glick, pour le compte de l’antenne de Breitbart en Israël. Il intervenait quelques semaines seulement après avoir reproché à Téhéran d’avoir livré des missiles au mouvement séparatiste soutenu par Alger. Le Maroc annonçait dans la foulée la rupture officielle des liens diplomatiques avec la République islamique.

©️ Copyright Pulse Media. Tous droits réservés.
Reproduction et diffusions interdites (photocopies, intranet, web, messageries, newsletters, outils de veille) sans autorisation écrite