Les États-Unis jouent les chasseurs de prime en proposant 10 millions de dollars de récompense pour la capture de pirates iraniens © TY Lim / Shutterstock
Les États-Unis jouent les chasseurs de prime en proposant 10 millions de dollars de récompense pour la capture de pirates iraniens © TY Lim / Shutterstock

Quatre pirates informatiques iraniens sont accusés d'avoir orchestré une campagne de cyberespionnage sophistiquée contre le gouvernement américain et des entreprises privées. Une prime de 10 millions de dollars est offerte pour toute information menant à leur capture.

Pour préserver leur cybersécurité, on peut dire que les États-Unis ne lésinent pas sur les moyens. Après avoir mis à prix la tête du gang de pirates BlackCat pour 10 millions de dollars, c'est la même somme plus que rondelette qu'ils offrent pour toute information pouvant mener à la capture de quatre cyberpirates iraniens.

Ces hackers ont été inculpés à Manhattan pour cyberespionnage contre des organisations sensibles américaines telles que des ministères liés à la défense nationale et des entreprises privées. À l'heure où nous écrivons ces lignes, le quatuor est toujours en cavale.

Le spearphishing et l'usurpation d'identité utilisés dans les campagnes de piratage

À l'instar de la France, c'est le phishing par e-mail qu'ont plébiscité les hackers. Ils ont utilisé le spearphishing et l'usurpation d'identité pour récolter des centaines de milliers de comptes d'employés d'entreprise du secteur de l'hôtellerie, mais également d'un grand cabinet comptable.

Parmi les méthodes employées pour arriver à leurs fins, les hackers ont utilisé le spearphishing, une forme avancée de phishing qui cible des individus ou des organisations spécifiques. À l'inverse du phishing général, qui diffuse des messages frauduleux à grande échelle, le spearphishing implique des attaques soigneusement personnalisées, qui ont été conçues pour tromper une victime en particulier. Les cybercriminels effectuent des recherches approfondies sur leurs cibles pour rendre leurs tentatives de fraude plus convaincantes, souvent en se faisant passer pour une source fiable que la victime connaît.

Les attaquants utilisent des informations collectées, telles que les détails personnels et professionnels de la victime, pour créer des messages de spearphishing crédibles qui peuvent inclure des liens vers des sites web malveillants ou des pièces jointes infectées par un malware. Le but est d'inciter la victime à révéler des informations sensibles, comme des identifiants de connexion ou des données financières, ou à installer des logiciels malveillants qui peuvent compromettre la sécurité des systèmes informatiques.

Au total, entre 2016 et 2021, Alireza Shafie Nasab, Reza Kazemifar, Hossein Harooni et Komeil Baradaran Salmani, les quatre pirates iraniens, ont hacké plus de 220 000 comptes d'employés, le tout au moyen de plusieurs campagnes.

Les États-Unis en cyberguerre contre l'Iran © Moab Republic /Shutterstock
Les États-Unis en cyberguerre contre l'Iran © Moab Republic /Shutterstock

10 millions de dollars de récompense pour retrouver un gang très organisé

Kazemifar, l'un des accusés, a testé des outils de spearphishing et développé des logiciels malveillants pour le complot. Il travaille également pour l'EWCD, une branche du CGRI, désigné comme une organisation terroriste par les États-Unis. Harooni était quant à lui chargé de l'infrastructure réseau. Il utilisait frauduleusement l'identité d'autrui pour masquer son rôle dans l'acquisition de ressources en ligne pour les intrusions.

Salmani et Nasab, également impliqués, étaient responsables du test des outils de spearphishing et de l'acquisition d'infrastructures pour des campagnes d'ingénierie sociale. Ils se servaient de l'identité d'une personne pour enregistrer des comptes de serveur et de messagerie. Les quatre hommes font face à des accusations de fraude informatique et électronique, avec des peines pouvant aller jusqu'à 20 ans de prison pour chaque chef d'accusation, plus des peines supplémentaires pour vol d'identité aggravé et dommages à un ordinateur protégé, déterminées par un juge fédéral selon les lignes directrices américaines.

En marge de ces accusations, le programme Rewards for Justice (RFJ) du département d'État américain propose une récompense pouvant atteindre 10 millions de dollars pour toute information permettant d'identifier ou de localiser le groupe et les accusés.

Le programme RFJ recherche des informations sur toute personne qui, tout en agissant sous la direction ou sous le contrôle d'un gouvernement étranger, se livre à certaines cyberactivités malveillantes en violation de la Loi sur la fraude et les abus informatiques (CFAA).