Une campagne de cyberespionnage liée à l'armée iranienne a attiré des victimes avec de faux profils et messages sur les réseaux sociaux dans le but de voler des noms d'utilisateur, des mots de passe et d'autres informations sensibles.
Des pirates informatiques iraniens ont passé 18 mois à se faire passer pour un instructeur d'aérobic dans le cadre d'une campagne de cyberespionnage destinée à infecter les employés et sous-traitants travaillant dans les domaines de la défense et de l'aérospatiale avec des logiciels malveillants afin de voler des noms d'utilisateur, des mots de passe et d'autres informations qui pourraient être exploité.
Active depuis au moins 2019, la campagne a utilisé Facebook, Instagram et des e-mails pour se faire passer pour le faux personnage de « Marcella Flores ». Les attaquants pourraient passer des mois à établir une relation avec leurs cibles via des messages et des e-mails avant de les distribuer. malware après que la confiance ait été gagnée.
La campagne a été
détaillé par les chercheurs en cybersécurité de Proofpoint qui l'ont lié à TA456, également connu sous le nom de Tortoiseshell – un groupe de piratage iranien soutenu par l'État et lié à la branche du Corps des Gardiens de la révolution islamique (CGRI) de l'armée iranienne.La façon dont un faux profil de réseau social a été géré pendant si longtemps démontre la quantité d'efforts et de persévérance déployés par les responsables de la campagne d'espionnage. effort visant à cibler les individus d'intérêt, principalement les personnes travaillant pour des sous-traitants de la défense américaine, en particulier ceux impliqués dans le soutien des opérations au Moyen-Orient. Est.
Le profil Facebook public de Marcella affirmait qu'elle était instructrice d'aérobic à Liverpool, en Angleterre. – et la liste de ses amis contenait plusieurs personnes s’identifiant comme entrepreneurs de la défense sur leurs profils.
Les attaquants derrière le faux personnage ont utilisé des e-mails, des profils de réseaux sociaux, des photos et même des messages coquettes pour donner l'impression qu'elle était une personne authentique lorsqu'elle était en contact avec les cibles.
Après une période d'échanges de messages avec la cible, les attaquants ont utilisé un compte Gmail configuré comme personnage pour envoyer un lien OneDrive contenant un document ou un fichier vidéo à la victime. C'est ce leurre qui a été utilisé pour distribuer un malware à la victime: une version mise à jour du malware Lideric, que les chercheurs ont surnommé Lempo.
Ce malware établit secrètement la persistance sur l'ordinateur Windows de la victime, permettant aux attaquants de rechercher et voler des informations sensibles, notamment des noms d'utilisateur et des mots de passe, qui sont ensuite renvoyées aux personnes qui exécutent le système. opération. Proofpoint a déclaré qu'en raison du ciblage spécifique des victimes; il n’est pas possible de dire si ces attaques ont réussi.
Voir: Cybersécurité: passons à la tactique (Fonction spéciale ZDNet/TechRepublic) | Téléchargez la version PDF gratuite (TechRépublique)
Les noms d’utilisateur et mots de passe volés pourraient aider les attaquants à mener de nouvelles campagnes d’espionnage. Les sous-traitants de la défense ont probablement été ciblés parce que le vol de leurs informations d'identification pourrait fournir aux attaquants les moyens de progresser dans la supply chain et d'accéder aux réseaux de la défense et de l'aérospatiale entreprises.
Les mots de passe volés pourraient être exploités pour gagner accès à distance aux VPN et logiciels distants, ou des informations d'identification compromises pourraient être utilisées pour mener d'autres attaques de phishing.
"Les informations recueillies par Lempo pourraient être opérationnalisées de diverses manières, notamment par l'utilisation d'identifiants VPN volés, l'exploitation de vulnérabilités dans le logiciel identifié, ou la personnalisation des logiciels malveillants ultérieurs à diffuser", a déclaré Sherrod DeGrippo, directeur principal de la recherche et de la détection des menaces chez Proofpoint. ZDNet.
Groupes de piratage et de cyberespionnage soutenus par l’État iranien se sont déjà engagés dans ce type d’ingénierie sociale, en utilisant de faux profils de femmes sur les réseaux sociaux pour inciter les individus à télécharger des logiciels malveillants. Comme d’autres campagnes d’espionnage iraniennes connues, celle-ci se concentre sur l’industrie de la défense et en particulier sur les entreprises fournissant un soutien aux opérations militaires au Moyen-Orient. Tout cela a conduit Proofpoint à attribuer la campagne au groupe de piratage informatique lié à l’État iranien TA456.
Facebook a fermé le profil de Marcella en juillet après l'avoir identifié, ainsi que d'autres comptes, comme travaillant sur des opérations de cyberespionnage pour le compte de Tortoiseshell. Facebook a associé les logiciels malveillants utilisés dans les campagnes à une société informatique iranienne ayant des liens avec le CGRI.
Les attaquants derrière le personnage de Marcella Flores ont passé au moins 18 mois à gérer le compte et à l'utiliser à des fins d'ingénierie sociale. Le dévouement à la création et à la maintenance de ces fausses personnalités, complété par l'effort pratique requis pour que les attaquants puissent interagir avec victimes potentielles, cela signifie qu'il est peu probable que ce soit la dernière fois que les campagnes d'espionnage et de distribution de logiciels malveillants affiliées au CGRI les utiliseront. tactique.
" L'engagement de TA456 depuis des années dans une ingénierie sociale significative, une reconnaissance bénigne des cibles avant le déploiement de logiciels malveillants et leur chaîne de destruction multiplateforme en fait un acteur menaçant très ingénieux et signifie qu'il doit réussir à obtenir des informations qui répondent à ses objectifs opérationnels », a déclaré DeGrippo.
L'opération Marcella Flores et d'autres campagnes d'espionnage menées depuis l'Iran démontrent à quel point l'ingénierie sociale peut être efficace. participer à des campagnes de piratage malveillantes - et l'importance de faire attention à ce que vous partagez sur les réseaux sociaux publics profils.
« Il est particulièrement important que ceux qui travaillent au sein ou en proximité de la base industrielle de défense soient vigilant lorsque vous interagissez avec des inconnus, que ce soit via des comptes professionnels ou personnels », a déclaré DeGrippo.
« Les acteurs malveillants utilisent souvent des informations accessibles au public sur une cible pour se faire une idée de son rôle, de ses connexions, de son accès à l'information et de sa vulnérabilité aux attaques. Le « partage excessif » sur les réseaux sociaux est un comportement particulièrement risqué dans les secteurs sensibles. Les organisations doivent donc veiller à ce que les employés soient correctement et fréquemment formés à la sensibilisation à la sécurité", a-t-elle déclaré. ajoutée.
EN SAVOIR PLUS SUR LA CYBERSÉCURITÉ
- Ces pirates iraniens se font passer pour des universitaires pour tenter de voler des mots de passe de messagerie.
- Les craintes de cyberguerre aggravent les problèmes de sécurité des entreprises.
- Facebook affirme avoir dérangé les pirates informatiques basés en Iran qui ciblaient les États-Unis.
- Malwares d'effacement de disque, phishing et espionnage: comment se comparent les capacités de cyberattaque de l'Iran.
- Microsoft Office 365 devient le cœur de nombreuses entreprises. Et les pirates ont remarqué.