RSSI : que craindre du conflit entre Israël et le Hamas ?
À ce stade, la menace se concentre essentiellement sur les dénis de service distribués (DDoS). Pour autant, certains groupes malveillants impliqués pratiquent le piratage, la défiguration de site, ou encore le doxxing.
Le conflit opposant Israël et le Hamas, ravivé par la violente attaque terroriste lancée par le second le 7 octobre, suscite les craintes de nombreux RSSI, craignant pour la sécurité de leur système d’information.
CrowdStrike a récemment publié une infographie présentant les groupes malveillants susceptibles d’entamer des opérations offensives dans le cadre du conflit en cours.
Certains sont déjà bien connus, notamment pour leur engagement dans le conflit opposant l’Ukraine à la Russie, avec par exemple Killnet, ou encore les hacktivistes d’Anonymous Soudan.
Bémol : si l’infographie de CrowdStrike précise les alignements et origines géographiques suspectées des différents groupes mentionnés, elle ne fait pas état du type de cyberattaque à attendre des uns ou des autres.
CyberKnow, connu pour son travail de suivi des groupes cybercriminels, s’est permis une correction : selon lui, le groupe Cyber Army Russia a déclaré sa neutralité et n’a jamais visé Israël. Et de relever en outre que Skylet Gang SG est originaire du Bangladesh et se positionne comme « cyberdéfenseur du Bengale ».
Surtout, CyberKnow tient à jour de manière très régulière une cartographie très complète des groupes en présence, assortie des activités offensives connues qui leur sont attribuées. Dans son édition du 15 octobre, on trouve un total de 87 groupes : 14 en faveur d’Israël et 73 opposés. La très grande majorité d’entre eux est connue pour lancer des attaques en déni de service distribué (DDoS), voire procéder à des défigurations de sites Web.
Le chercheur fastfire tient à jour une liste de chaînes telegram utilisées par ces groupes pour revendiquer leurs actions ou annoncer celles à venir.
Une minorité de groupes va au-delà, mais, rappelle le collectif Curated Intelligence, « on s’attend également à ce que des groupes régionaux de menaces avancées persistantes (APT) lancent des campagnes » dans le cadre du conflit en cours. Et là, « il convient de noter que les rapports sur les activités des groupes APT sont souvent en retard en raison de la nature secrète de leurs opérations, mais il est presque certain que divers groupes bien connus seront actifs pendant cette période tumultueuse ».
Secureworks a partagé sa liste d’acteurs régionaux avancés, dont certains sont connus pour mener des opérations de cyberespionnage voire même déployer des rançongiciels, à l’instar de Pay2Key ou Moses Staff. Sans activité publique connue depuis longtemps, le premier s’était notamment fait remarquer fin 2020 par une revendication de cyberattaque contre la filiale d’Intel Habana Labs.
Les chercheurs de Check Point avaient levé le voile sur Pay2Key un mois plus tôt. Dans leur analyse du rançongiciel, les chercheurs avaient estimé que « l’attaquant n’est pas anglophone » et s’interrogeaient sur le fait qu’il se concentre sur Israël alors que ses compétences pourraient s’appliquer bien au-delà.
Les équipes de Profero avaient plus tard établi un lien entre Pay2Key avec une plateforme d’échange de cryptomonnaies iranienne.
Pour approfondir sur Cyberdéfense
-
Quand la géopolitique s’immisce dans le monde des rançongiciels
-
Ransomware : quand il cache autre chose que la cyber-extorsion
-
CrowdStrike Global Threat Report : forte hausse des intrusions dans l’informatique cloud
-
Les services de chiffrement d’IBM : Key Protect, Cloud HSM 7.0 et Hyper Crypto Services