SAWT BEIRUT INTERNATIONAL

| 27 October 2021, Wednesday |

La révélation d’une campagne de piratage iranienne visant l’Amérique et l’Europe

Facebook déclare avoir repéré et interrompu une campagne de piratage iranienne qui utilisait des comptes Facebook pour prétendre être des employeurs, ciblant des groupes américains avec des programmes utilisant des techniques d’attaques d’ingénierie sociale pour envoyer des fichiers infectés par des logiciels malveillants ou les inciter à envoyer des informations d’identification sensibles à des sites de hameçonnage.

Selon Facebook, les pirates ont prétendu travailler dans l’hôtellerie, le secteur médical, le journalisme, les ONG ou les compagnies aériennes, et ont parfois interagi avec leurs cibles pendant des mois, avec des profils sur de nombreuses plateformes de médias sociaux différentes.

Contrairement à certains cas antérieurs de trolling iranien sur des médias sociaux parrainés par l’État qui se concentraient sur les voisins de l’Iran, cette dernière campagne semble avoir largement ciblé les Américains et, dans une moindre mesure, des victimes du Royaume-Uni et d’Europe.

Facebook dit avoir supprimé « moins de 200 » faux profils de ses plateformes à la suite de l’enquête.

« Notre enquête a révélé que Facebook faisait partie d’une opération d’espionnage beaucoup plus large qui ciblait les gens par le biais de l’hameçonnage, de l’ingénierie sociale, de sites Web de phishing et de domaines malveillants sur plusieurs plateformes de médias sociaux, de courriels et de sites de collaboration », a déclaré David Agranovic, directeur de l’interruption des menaces chez Facebook.

Facebook a identifié les pirates à l’origine de la campagne d’ingénierie sociale pour le compte du groupe connu sous le nom de “Tortoiseshell”, qui opérerait pour le compte du gouvernement iranien.

Le groupe, qui présente certains liens et similitudes avec d’autres groupes iraniens bien connus, est apparu pour la première fois en 2019. À l’époque, la société de sécurité Symantec a repéré des pirates informatiques infiltrant des fournisseurs informatiques en Arabie saoudite dans le cadre d’une attaque apparente de la chaîne d’approvisionnement visant à infecter les clients de l’entreprise avec un malware connu sous le nom de Syskit.

Facebook a détecté le même logiciel malveillant utilisé dans cette dernière campagne de piratage, mais avec un ensemble beaucoup plus large de technologies d’infection et des cibles aux États-Unis et dans d’autres pays occidentaux plutôt qu’au Moyen-Orient.

Il semble également que “Tortoiseshell” ait choisi dès le départ d’utiliser des techniques d’ingénierie sociale pour lancer une attaque de la chaîne d’approvisionnement, puisqu’elle a commencé son activité sur les médias sociaux dès 2018, selon la société de sécurité Mandiant.

« Cela inclut bien plus que Facebook », explique John Hultquist, vice-président de la surveillance des menaces chez Mandiant. « Dès les premières opérations, il s’avère qu’ils compensent une technologie rationalisée par des schémas de médias sociaux vraiment complexes, et c’est un domaine où l’Iran excelle. »

En 2019, Talos, la division sécurité de Cisco, a repéré un faux site web destiné aux vétérans, appelé « Hire Military Heroes » et exploité par “Tortoiseshell”, conçu pour tromper les victimes en installant sur leur ordinateur une application de bureau contenant un logiciel malveillant.

Craig Williams, directeur du groupe de renseignement Talos, affirme que « ce faux site et l’importante opération de répression menée sur Facebook ont permis d’identifier les militaires qui tentent de trouver un emploi dans le secteur privé comme une cible appropriée pour les espions. »

« Le problème que nous avons est que les vétérans qui entrent dans le monde du commerce constituent une classe tellement importante », ajoute Williams. « Les méchants peuvent trouver des gens qui font des erreurs, qui vont cliquer sur des choses qu’ils ne devraient pas faire, et qui sont attirés par certaines suggestions. »

Facebook a prévenu que le groupe avait également imité un site Web du ministère du travail des États-Unis, et la société a fourni une liste des faux sites du groupe qui imitent des sites de médias d’information, de YouTube, de LiveLeak et de nombreux autres sites populaires.

Facebook affirme avoir établi un lien entre les logiciels malveillants du groupe et un entrepreneur informatique basé à Téhéran, Mohak Ryan Afraz, qui avait déjà fourni des logiciels malveillants aux Gardiens de la révolution iranienne.