Skip to content
CBCyber Breaches
Recherche
WiperContenu

Effaceur destructeur HomeLand Justice contre l'Albanie (Iran MOIS, 2022)

Le ministère iranien du renseignement et de la sécurité, opérant sous le nom de « HomeLand Justice », a passé 14 mois à se maintenir dans les réseaux du gouvernement albanais avant de lancer un chiffrement de fichiers de type rançongiciel et un maliciel d'effacement de disque. L'Albanie a suspendu les services publics en ligne et est devenue le premier pays de l'histoire à rompre ses relations diplomatiques avec un État à la suite d'une cyberattaque.

Victime
Gouvernement d'Albanie
SecteurGouvernement
PaysAlbanie
GroupeHomeLand JusticeIran MOIS

Le 15 juillet 2022, le gouvernement d'Albanie a été frappé par une opération cyber destructrice qui combinait un chiffrement de fichiers de type rançongiciel et un maliciel d'effacement de disque. Les attaquants, se présentant comme « HomeLand Justice », ont présenté l'opération comme une représaille contre l'Albanie pour avoir accueilli des membres du groupe d'opposition iranien Mojahedin-e-Khalq (MEK). L'attribution américaine et celle de Microsoft ont relié l'opération au ministère iranien du renseignement et de la sécurité (MOIS). L'Albanie a réagi en rompant ses relations diplomatiques avec l'Iran — première fois dans l'histoire qu'un pays a procédé ainsi en raison d'une cyberattaque.

Ce qui s'est passé

L'intrusion a commencé environ 14 mois avant la charge utile destructrice. Des acteurs cyber étatiques iraniens ont établi un accès aux réseaux du gouvernement albanais en mai 2021, puis ont passé l'année suivante à effectuer du déplacement latéral, de la reconnaissance et de la collecte d'identifiants — la posture patiente et méthodique d'une opération de renseignement étatique, et non celle d'une équipe d'extorsion criminelle.

Le 15 juillet 2022, les attaquants ont lancé la phase destructrice : chiffrement de fichiers de type rançongiciel et maliciel d'effacement de disque. Des messages politiques anti-MEK ont été laissés sur les bureaux compromis, présentant l'attaque comme une représaille contre la politique albanaise d'accueil des membres du MEK. Le gouvernement albanais a suspendu les services publics en ligne.

La réponse diplomatique a été sans précédent. Le 6 septembre 2022, l'Albanie a rompu ses relations diplomatiques avec l'Iran et a ordonné au personnel de l'ambassade iranienne de quitter le pays sous 24 heures. Aucun pays n'avait auparavant rompu ses relations diplomatiques en raison d'une cyberattaque. Microsoft a publié son analyse d'attribution le 8 septembre. Le Trésor américain a imposé des sanctions au MOIS iranien et à son ministre. La CISA et le FBI ont publié un avis conjoint détaillé (AA22-264A).

Impact

  • Services du gouvernement albanais suspendus.
  • Attaque à double mode confirmée : chiffrement de type rançongiciel + effaceurs de disque.
  • Première rupture diplomatique en réponse à une cyberattaque.
  • Sanctions du Trésor américain contre le MOIS iranien et son ministre.
  • L'avis conjoint CISA/FBI codifie les TTP cyber étatiques iraniens pour les défenseurs du monde entier.

Pourquoi cela compte

L'opération HomeLand Justice est le précédent marquant en matière de conséquences diplomatiques dans l'histoire publique des opérations cyber étatiques. La dissimulation par l'Iran de l'opération sous la forme d'un groupe hacktiviste relevait d'une évasion d'attribution classique ; le temps de présence (~14 mois) correspond à la norme pour les opérations de renseignement étatique ; la charge utile destructrice distingue le cas du pur espionnage. La décision du gouvernement albanais de faire de cette opération cyber un casus belli diplomatique a créé un précédent avec lequel chaque gouvernement a dû compter depuis.

Chronologie

  1. Des acteurs cyber étatiques iraniens obtiennent un accès initial aux réseaux du gouvernement albanais (environ 14 mois avant la charge utile destructrice).

  2. Déplacement latéral, reconnaissance réseau et collecte d'identifiants à travers les réseaux du gouvernement albanais.

  3. HomeLand Justice lance un chiffrement de fichiers de type rançongiciel et un maliciel d'effacement de disque contre les systèmes du gouvernement albanais. Des messages anti-MEK (Mojahedin-e-Khalq) sont laissés sur les bureaux. L'Albanie suspend les services publics en ligne.

  4. L'Albanie rompt ses relations diplomatiques avec l'Iran — première fois qu'un pays met fin à ses relations diplomatiques en raison d'une cyberattaque — et donne 24 heures au personnel de l'ambassade iranienne pour partir.

  5. Microsoft attribue publiquement l'opération à l'Iran. Le Trésor américain impose des sanctions au ministère iranien du renseignement et de la sécurité (MOIS) et à son ministre.

  6. La CISA et le FBI publient l'avis conjoint de cybersécurité AA22-264A détaillant les tactiques des acteurs cyber étatiques iraniens.

Sources

  1. cisa.govhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa22-264a
  2. microsoft.comhttps://www.microsoft.com/en-us/security/blog/2022/09/08/microsoft-investigates-iranian-attacks-against-the-albanian-government/
  3. iranprimer.usip.orghttps://iranprimer.usip.org/blog/2022/sep/09/albania-cuts-ties-iran-over-cyberattack
  4. thehackernews.comhttps://thehackernews.com/2022/09/us-imposes-new-sanctions-on-iran-over.html
  5. cyberlaw.ccdcoe.orghttps://cyberlaw.ccdcoe.org/wiki/Homeland_Justice_operations_against_Albania_(2022)

Incidents liés