Des pirates informatiques ayant des liens avec le gouvernement iranien ont été liés à une campagne d’ingénierie sociale et de phishing d’informations d’identification en cours dirigée contre des militants des droits de l’homme, des journalistes, des chercheurs, des universitaires, des diplomates et des politiciens travaillant au Moyen-Orient.
Au moins 20 personnes auraient été ciblées, a déclaré Human Rights Watch (HRW) dans un rapport publié lundi, attribuant l’activité malveillante à un collectif contradictoire suivi sous le nom d’APT42, qui est connu pour partager des chevauchements avec Charming Kitten (alias APT35 ou Phosphore).
La campagne a entraîné la compromission d’e-mails et d’autres données sensibles appartenant à trois des cibles. Cela comprenait un correspondant d’un grand journal américain, un défenseur des droits des femmes basé dans la région du Golfe et Nicholas Noe, un consultant en plaidoyer basé au Liban pour Refugees International.
L’effraction numérique impliquait d’accéder à leurs e-mails, leur stockage dans le cloud, leurs calendriers et leurs contacts, ainsi que d’exfiltrer l’intégralité des données associées à leurs comptes Google sous la forme de fichiers d’archives via Google Takeout.
« Les pirates informatiques iraniens soutenus par l’État utilisent de manière agressive des tactiques sophistiquées d’ingénierie sociale et de collecte d’informations d’identification pour accéder à des informations sensibles et à des contacts détenus par des chercheurs et des groupes de la société civile axés sur le Moyen-Orient », a déclaré Abir Ghattas, directeur de la sécurité de l’information à Human Rights Watch, a dit.
La chaîne d’infection commence avec les cibles recevant des messages suspects sur WhatsApp sous prétexte de les inviter à une conférence et d’inciter les victimes à cliquer sur une URL malveillante qui a capturé leur Microsoft, Google et Yahoo! identifiants de connexion.
Ces pages de phishing sont également capables d’orchestrer des attaques d’adversaire au milieu (AiTM), permettant ainsi de violer des comptes sécurisés par une authentification à deux facteurs (2FA) autre qu’une clé de sécurité matérielle.
Il est confirmé que 15 des personnalités ciblées ont reçu les mêmes messages WhatsApp entre le 15 septembre et le 25 novembre 2022, a indiqué l’organisation non gouvernementale internationale.
HRW a en outre souligné les insuffisances de Google protections de sécuritécar les victimes de l’attaque de phishing « ne se sont pas rendues compte que leurs comptes Gmail avaient été compromis ou qu’un Google Takeout avait été lancé, en partie parce que les avertissements de sécurité sous l’activité du compte Google ne poussent ni n’affichent aucune notification permanente dans la boîte de réception d’un utilisateur ni n’envoient un message push à l’application Gmail sur leur téléphone. »
L’option de demander des données à Google Takeout s’aligne sur un programme basé sur .NET appelé HYPERSCRAPE qui a été documenté pour la première fois par le groupe d’analyse des menaces (TAG) de Google au début du mois d’août, bien que HRW ait déclaré qu’il ne pouvait pas confirmer si l’outil était effectivement utilisé dans ce cas. incident précis.
L’attribution à APT42 est basée sur des chevauchements dans le code source de la page de phishing avec celui d’une autre page d’enregistrement usurpée qui, à son tour, a été associée à une attaque de vol d’informations d’identification montée par un acteur du lien avec l’Iran (alias TAG-56) contre un groupe de réflexion américain sans nom.
« L’activité de menace est très probablement indicative d’une campagne plus large qui utilise des raccourcisseurs d’URL pour diriger les victimes vers des pages malveillantes où les informations d’identification sont volées », a déclaré Recorded Future. divulgué tard le mois dernier. « Ce métier est courant parmi les groupes de menace persistante avancée (APT) liés à l’Iran comme APT42 et Phosphorus. »
De plus, le même code a été connecté à un autre domaine utilisé dans le cadre d’une attaque d’ingénierie sociale attribuée au groupe Charming Kitten et perturbée par Google TAG en octobre 2021.
Il convient de souligner que malgré les liens d’APT35 et d’APT42 avec le Corps des gardiens de la révolution islamique (CGRI) iranien, ce dernier est davantage orienté vers des individus et des entités à des fins de « politique intérieure, de politique étrangère et de stabilité du régime », selon Mandiant.
« Dans une région du Moyen-Orient en proie à des menaces de surveillance pour les militants, il est essentiel que les chercheurs en sécurité numérique non seulement publient et promeuvent leurs découvertes, mais donnent également la priorité à la protection des militants, des journalistes et des dirigeants de la société civile assiégés de la région », a déclaré Ghattas.