Pour James A. Lewis, ancien fonctionnaire au département d'Etat et du Commerce américain, aujourd'hui expert en sécurité au Center for Strategic and International Studies de Washington, « il ne fait aucun doute pour le gouvernement américain que l'Iran est derrière ces attaques ». C'est un des éléments que l'on peut retrouver dans une enquête de deux journalistes du New York Times sur la vague d'attaques contre plusieurs sites bancaires américains. Les faits se sont déroulés en septembre 2012 et ont provoqué au mieux des ralentissements au pire des interruptions de services des sites de Bank of America, Citigroup, Wells Fargo, U.S. Bancorp, PNC, Capital One, Fifth Third Bank, BB&T et HSBC. Il s'agirait d'une riposte de l'Iran face aux différentes attaques via des malwares comme Stuxnet ou Flame.

Des attaques puissantes et travaillées


Pour les chercheurs en sécurité interrogés par les journalistes, ces attaques n'ont pas été perpétrées depuis des ordinateurs individuels, mais plutôt depuis un réseau d'ordinateurs au sein de plusieurs datacenters. La force de frappe n'est évidemment pas la même (une banque a reçu à elle seule 40 Gbits de flux contre une moyenne de 1 Gbits) et le soupçon d'une main étatique derrière ce modus operandi s'est vite imposé. Pour corser l'affaire, les pirates ont imaginé des attaques DDoS de chiffrement. Les transactions bancaires sont traditionnellement chiffrées, mais ce processus consomme de la ressource IT. L'idée des pirates est donc de surcharger les serveurs en demande de chiffrement pour ralentir ou faire tomber les services. Cette méthode n'est pas le fait de simples pirates amateurs.

Un détournement de datacenters


Des chercheurs de Radware contactés par le NYT ont analysé plusieurs attaques et ont découvert que le trafic venait de plusieurs datacenters dans le monde. Des fournisseurs de cloud public et d'autres hébergeurs auraient été infectés par une version sophistiquée d'un malware ancien, Itsoknoproblembro, créé pour échapper aux antivirus. Les pirates auraient ainsi monté un véritable botnet, que les spécialistes ont baptisé « rRobot ».