Dans son dernier rapport, Tool of First Resort : Israel-Hamas War in Cyber, Mandiant partage ses conclusions sur une approche tactique différente - et sur l’escalade des cyber-opérations offensives à la suite des attaques terroristes du 7 octobre. Notamment, après les attaques terroristes du Hamas, Mandiant a observé que le flux constant de cyber-opérations menées par l’Iran et les groupes liés au Hezbollah est devenu plus ciblé, plus concentré et - entre autres objectifs - destiné à affaiblir le soutien de l’opinion publique à la guerre.
Le rapport publié aujourd’hui est le dernier exemple en date de la façon dont les opérations cybernétiques sont des outils de premier recours, offrant aux rivaux un moyen moins coûteux et moins risqué de s’engager dans un conflit, de recueillir des informations, de perturber la vie quotidienne et d’influencer la perception du public, tout en restant en deçà de la ligne de front directe.

Google a suivi et protégé les utilisateurs contre les cybermenaces avant, pendant et après les attaques terroristes du Hamas du 7 octobre. Le rapport publié aujourd’hui, qui s’appuie sur les analyses du groupe d’analyse des menaces (TAG) de Google, de Mandiant et des équipes Trust & Safety, présente de nouvelles conclusions sur les campagnes d’hameçonnage soutenues par le gouvernement iranien, les opérations de piratage et de fuite d’informations, ainsi que les attaques perturbatrices ciblant l’Iran et les cyber-opérations liées au Hamas.

Principales conclusions sur les cyber-opérations liées à la guerre entre Israël et le Hamas

1. L’Iran continue de cibler agressivement les entités israéliennes et américaines, souvent avec des résultats mitigés. Cette attention constante suggère que l’attaque du Hamas n’a pas fondamentalement modifié la stratégie de Téhéran, mais après l’attaque, Mandiant a constaté un effort plus ciblé, axé sur l’affaiblissement du soutien public à la guerre. Il s’agit notamment :
● D’attaques destructrices contre des organisations israéliennes clés ;
● Des opérations de piratage et de fuite, y compris des revendications exagérées d’attaques contre des infrastructures critiques en Israël et aux États-Unis ;
● D’opérations d’information (OI) visant à démoraliser les citoyens israéliens, à éroder la confiance dans les organisations critiques et à retourner l’opinion publique mondiale contre Israël ;
● De campagnes d’hameçonnage visant des utilisateurs basés en Israël et aux États-Unis afin de collecter des informations sur des décideurs clés.

2. Les infrastructures critiques iraniennes ont été perturbées par un acteur prétendant réagir au conflit. « Gonjeshke Darande » (Moineau prédateur) a affirmé avoir mis hors ligne la majorité des stations-service en Iran, attaquant leur infrastructure et leurs systèmes de paiement. L’Iran a attribué l’activité de Gonjeshke Darande à Israël, mais Mandiant ne dispose pas de preuves suffisantes pour évaluer ces affirmations.

3. Le cyberespionnage du Hamas a suivi son schéma habituel pendant la période précédant le 7 octobre, et Mandiant n’a pas observé d’activité significative depuis lors. Ses observations suggèrent que le Hamas n’a pas utilisé les opérations cybernétiques pour soutenir tactiquement l’attaque terroriste du 7 octobre. Jusqu’en septembre 2023, les groupes liés au Hamas se sont livrés à des activités de cyberespionnage conformes à leurs opérations normales :
● Campagnes d’hameçonnage de masse pour diffuser des logiciels malveillants et voler des données ;
● Logiciels espions pour téléphones portables, y compris des portes dérobées pour Android, distribués par hameçonnage ;
● Le ciblage persistant d’Israël, de la Palestine et de leurs voisins régionaux au Moyen-Orient, ainsi que le ciblage régulier des États-Unis et de l’Europe.

Quelle est la différence avec la guerre russe en Ukraine ?

Depuis son rapport de 2023 sur la guerre russe en Ukraine, Mandiant a vu plusieurs de ses évaluations se concrétiser. Les attaquants soutenus par le gouvernement russe ont poursuivi leurs cyberattaques contre l’Ukraine et les partenaires de l’OTAN, et les attaquants soutenus par le gouvernement russe ont continué à cibler de multiples secteurs en Ukraine et dans la région, y compris des personnalités de premier plan au sein d’ONG, d’anciens responsables des services de renseignement et de l’armée, ainsi que des gouvernements de l’OTAN. Au cours de la période précédant la contre-offensive ukrainienne de juin 2023, les équipes Mandiant ont également constaté une augmentation de la fréquence et de la portée des opérations d’hameçonnage d’APT29, notamment une intensification des opérations centrées sur les ambassades étrangères en Ukraine et, plus tard, un pic d’attaques destructrices contre Kyivstar et Parkovy. Moscou continue également à associer les cyberattaques à des activités cinétiques.
La cyberactivité entourant la guerre entre Israël et le Hamas est toutefois très différente de celle de la guerre en Ukraine. Contrairement à l’attaque contre l’Ukraine, Mandiant n’a pas observé de pic dans les cyberopérations contre des cibles israéliennes avant l’attaque, et rien n’indique que la cyberactivité ait été intégrée dans les opérations du Hamas sur le champ de bataille, ou utilisée pour permettre des événements cinétiques.

Ce qui nous attend en 2024
Les observations formulées dans le rapport font ressortir plusieurs évaluations prospectives plus larges pour la communauté de la sécurité à l’horizon 2024 :
● Les groupes liés à l’Iran sont susceptibles de continuer à mener des cyberattaques destructrices, en particulier en cas d’escalade perçue du conflit, y compris des activités cinétiques contre des groupes mandataires iraniens dans divers pays, tels que le Liban et le Yémen.
● Les opérations de piratage et de fuite et les opérations d’information resteront un élément clé de ces efforts pour télégraphier les intentions et les capacités tout au long de la guerre, à la fois aux adversaires de l’Iran et à d’autres publics qu’ils cherchent à influencer.
● Bien que les perspectives d’opérations cybernétiques par des acteurs liés au Hamas soient incertaines à court terme, Mandiant prévoit que les activités cybernétiques du Hamas finiront par reprendre, en mettant l’accent sur l’espionnage pour la collecte de renseignements sur les affaires intra-palestiniennes, Israël, les États-Unis, l’Europe et d’autres acteurs régionaux au Moyen-Orient.
Il est clair que la cybernétique jouera un rôle prépondérant dans les conflits armés majeurs à l’avenir. Les équipes Mandiant espèrent que l’analyse et la recherche contenues dans ce rapport contribueront à informer les défenseurs du monde entier, en apportant de nouvelles perspectives pour la défense collective. Chez Google, les équipes s’engagent à soutenir la sécurité des utilisateurs en ligne partout dans le monde et continueront à prendre des mesures pour perturber les activités malveillantes afin de protéger ses utilisateurs et de contribuer à rendre Internet sûr pour tous.