Facebook a révélé jeudi avoir démantelé une campagne de cyberespionnage en ligne « sophistiquée » menée par des pirates iraniens ciblant environ 200 militaires et des entreprises des secteurs de la défense et de l’aérospatiale aux États-Unis, au Royaume-Uni et en Europe utilisant de faux personas en ligne sur sa plate-forme.
Le géant des médias sociaux a épinglé les attaques à un acteur menaçant connu sous le nom de Écaille de tortue (alias Imperial Kitten) sur la base du fait que l’adversaire a utilisé des techniques similaires dans les campagnes passées attribuées au groupe de menace, qui était précédemment connu se concentrer sur l’industrie des technologies de l’information en Arabie saoudite, suggérant une apparente expansion des activités malveillantes.
« Ce groupe a utilisé diverses tactiques malveillantes pour identifier ses cibles et infecter leurs appareils avec des logiciels malveillants pour permettre l’espionnage », mentionné Mike Dvilyanski, responsable des enquêtes sur le cyber-espionnage, et David Agranovich, directeur, Threat Disruption, chez Facebook. « Cette activité avait les caractéristiques d’une opération bien financée et persistante, tout en s’appuyant sur des mesures de sécurité opérationnelles relativement fortes pour cacher qui se cache derrière. »
Selon l’entreprise, les attaques faisaient partie d’une campagne multiplateforme beaucoup plus vaste, les mauvais acteurs utilisant Facebook comme vecteur d’ingénierie sociale pour rediriger les victimes vers des domaines malveillants via des liens malveillants.
À cette fin, Tortoiseshell aurait déployé des personnages fictifs sophistiqués pour contacter ses cibles, et parfois s’engager avec elles pendant des mois pour instaurer la confiance, en se faisant passer pour des recruteurs et des employés de sociétés de défense et d’aérospatiale, tandis que quelques autres prétendaient travailler dans l’hôtellerie. , médecine, journalisme, ONG et industries du transport aérien.
Les domaines frauduleux, y compris les fausses versions d’un site de recherche d’emploi et de sites Web de recrutement du département américain du Travail, ont été conçus pour cibler des personnes susceptibles d’intéresser les industries de l’aérospatiale et de la défense dans le but ultime de commettre des vols d’identifiants et de siphonner des données de comptes de messagerie appartenant à des les cibles.
En plus de tirer parti de différentes plates-formes de collaboration et de messagerie pour déplacer les conversations hors plate-forme et fournir des logiciels malveillants sur mesure à leurs victimes, l’acteur de la menace a également profilé leurs systèmes pour aspirer des informations sur les réseaux auxquels les appareils étaient connectés et les logiciels installés déployez des chevaux de Troie d’accès à distance (RAT), des outils de reconnaissance de périphérique et de réseau complets et des enregistreurs de frappe.
En outre, l’analyse de Facebook de l’infrastructure des logiciels malveillants de Tortoiseshell a révélé qu’une partie de leur ensemble d’outils a été développée par Mahak Rayan Afraz (MRA), une société informatique de Téhéran liée au Corps des gardiens de la révolution islamique (IRGC).
« Pour perturber cette opération, nous avons bloqué le partage de domaines malveillants sur notre plate-forme, supprimé les comptes du groupe et informé les personnes qui, selon nous, étaient ciblées par cet acteur malveillant », ont déclaré Dvilyanski et Agranovich. Environ 200 comptes gérés par le groupe de piratage ont été supprimés, a ajouté Facebook.