Aridviper, les cyber-espions du Hamas
Si les capacités militaires du Hamas font beaucoup parler depuis l'attaque du 7 octobre, ses capacités cyber, car il en a, sont, elles, passées sous le radar. Néanmoins, leur existence est connue : en 2019, Tsahal a mené un bombardement ciblant des cybercriminels travaillant pour l'organisation terroriste. Mais une partie de ces hackers a survécu et supervise le cyber-espionnage du Hamas. Leur nom ? Aridviper.
Ce groupe est actif depuis le début des années 2010 et s'est fait connaître pour des opérations ciblant des membres de Tsahal et de l'Autorité palestinienne. Il était en revanche jusque-là impossible de les rattacher clairement à un commanditaire. Une situation qui a changé, grâce la découverte des équipes de Recorded Future. Leurs chercheurs ont découvert qu'une brique technologique lie Aridviper au site Internet de la Brigade Al-Qassam, le bras armé du Hamas. De plus la victimologie du groupe permet d'affirmer que ses opérations servent les intérêts de l'organisation terroriste de Gaza. Mais que fait AridViper pour le Hamas ? Du renseignement et de la surveillance.
Les opérations de cyber-espionnage ciblent Israël via plusieurs modes opératoires, dont un clairement identifié : les applications de rencontre. Les membres de Aridviper créent de faux profils de jeunes Israéliennes et tentent de matcher avec des soldats de Tsahal. Quand ils y parviennent, les hackers demandent au soldat hameçonné sa localisation, sous prétexte de vouloir passer le voir. Les militaires israéliens sont de plus en plus formés pour déceler ces faux profils et ainsi éviter le piège tout en le signalant à la hiérarchie.
Mais l'espionnage de cibles israéliennes n'est pas l'unique mission d'Aridviper, précise un expert de l'équipe CTI de Sekoia.io : "Au regard de la victimologie, nous pensons que le groupe se divise comme suit : une unité dédiée à la surveillance extérieure, dont la cible est Israël, et une autre dont la mission est l'espionnage du Fatah et des autres opposants du Hamas". Pour cette seconde mission, Aridviper envoie un e-mail imitant ceux de l'Autorité palestinienne à la cible, accompagné d'une pièce jointe. La cible, généralement un responsable du Fatah, clique sur la pièce jointe permettant à un logiciel espion de se déployer sur son ordinateur. Les membres d'Aridviper vont avoir accès à l'ensemble des informations contenues dans le PC, et ainsi pouvoir évaluer le positionnement politique de la cible et le rapporter au Hamas. Cette activité de surveillance est aussi importante que celle d'espionnage ciblant Israël.
Un rôle dans l'attaque du 7 octobre ?
Difficile de connaître l'implication d'Aridviper dans les massacres du 7 octobre. A priori, ils n'ont pas eu de rôle offensif, selon notre interlocuteur chez Sekoia.io : "C'est un groupe de puissance intermédiaire, ils n'ont pas le savoir-faire et encore moins la capacité technique de brouiller les systèmes de Tsahal ou de pirater des structures étatiques".
Néanmoins, le groupe a pu récolter du renseignement lors de la préparation des attentats, pour aider les terroristes de la Brigade Al-Qassam à sélectionner leurs points d'entrée sur le territoire israélien. Mais désormais, les membres d'Aridviper sont des cibles pour les forces de Tsahal et certains bombardements à Gaza ont pour objectif de les éliminer. Car au moins une partie du groupe se trouve encore physiquement dans l'enclave palestinienne.