IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'équipe chargée des menaces de Google confirme que l'Iran cible les campagnes de Trump, Biden et Harris pour les élections américaines, ainsi qu'Israël
Avec des courriels d'hameçonnage et des malwares

Le , par Jade Emy
5 commentaires

8PARTAGES

6  0 
L'équipe chargée des menaces de Google (Threat Analysis Group) confirme que l'Iran cible les États-Unis et Israël, avec des courriels d'hameçonnage, des malwares et des redirections malveillantes. Au cours des six derniers mois, les États-Unis et Israël ont représenté environ 60 % des cibles géographiques connues d'APT42, y compris d'anciens hauts responsables militaires israéliens et des personnes affiliées aux deux campagnes présidentielles américaines.

Des documents internes à la campagne du candidat à l’élection présidentielle américaine, Donald Trump, ont fait l’objet de divulgation publique. L'équipe de campagne de Donald Trump a déclaré que des pirates informatiques étrangers se sont introduits dans ses systèmes et ont eu accès à des communications internes, dans le but "d'interférer avec l'élection de 2024 et de semer le chaos". La déclaration de l'équipe de campagne de Donald Trump laisse entendre que des pirates iraniens sont à l'origine du piratage.

Mais de multiples voix se sont levé pour indiquer que ces déclarations sont à prendre avec des pincettes. "Il y a huit ans, Trump a demandé à la Russie de pirater les courriels d'Hillary Clinton. Aujourd'hui, il affirme que sa campagne a été piratée par des Iraniens. Il pourrait s'agir d'un karma. Il pourrait s'agir d'un autre mensonge de Trump", selon des commentaires.

Récemment, l'équipe chargée des menaces de Google (Threat Analysis Group ou TAG) a confirmé que l'Iran ciblait les campagnes de Trump, Biden et Harris pour les élections américaines. Le groupe d'analyse des menaces de Google a confirmé avoir observé un acteur de la menace soutenu par le gouvernement iranien (dénommé APT42) ciblant les comptes Google associés aux campagnes présidentielles américaines, en plus d'une intensification des attaques contre des cibles israéliennes.

Le TAG de Google ajoute qu'il a réinitialisé des comptes, envoyé des avertissements aux utilisateurs et mis sur liste noire des domaines associés aux tentatives d'hameçonnage d'APT42.


APT42, associé au Corps des gardiens de la révolution islamique d'Iran, "cible régulièrement des utilisateurs de premier plan en Israël et aux États-Unis", déclare le Threat Analysis Group (TAG). Le groupe iranien utilise des logiciels malveillants hébergés, des pages d'hameçonnage, des redirections malveillantes et d'autres tactiques pour accéder aux comptes Google, Dropbox, OneDrive et autres comptes basés sur le cloud.

Parmi les outils d'APT42 figuraient des pages Google Sites qui semblaient être une pétition émanant d'activistes juifs légitimes, demandant à Israël de jouer un rôle de médiateur dans le conflit qui l'oppose au Hamas. La page était créée à partir de fichiers images, et non HTML, et une redirection renvoyait les utilisateurs vers des pages de phishing lorsqu'ils signaient la pétition.

Aux États-Unis, le TAG de Google note que, comme pour les élections de 2020, APT42 cible activement les courriels personnels d' "environ une douzaine de personnes affiliées au président Biden et à l'ancien président Trump". Le TAG confirme qu'APT42 "a réussi à accéder au compte Gmail personnel d'un consultant politique de premier plan", qui pourrait être l'agent républicain de longue date Roger Stone, selon plusieurs rapports. Microsoft a indiqué séparément qu'un "ancien conseiller principal" de la campagne Trump avait vu son compte Microsoft compromis, ce que Stone a également confirmé.


Voici les détails du rapport de l'équipe chargée des menaces de Google (TAG) :

Rapport du TAG : des acteurs de la menace de l'Iran ciblent les États-Unis et Israël

Le groupe d'analyse des menaces (TAG) de Google vient de partager des informations sur APT42, un acteur de la menace soutenu par le gouvernement iranien, et sur ses campagnes de phishing ciblées contre Israël et des cibles israéliennes. Le rapport du TAG confirme également les récents rapports concernant le ciblage par APT42 de comptes associés à l'élection présidentielle américaine.

Associé au Corps des gardiens de la révolution islamique d'Iran (IRGC), APT42 cible régulièrement des utilisateurs de premier plan en Israël et aux États-Unis, notamment d'anciens et d'actuels responsables gouvernementaux, des campagnes politiques, des diplomates, des personnes travaillant dans des groupes de réflexion, ainsi que des ONG et des établissements universitaires qui contribuent aux discussions sur la politique étrangère.

Au cours des six derniers mois, les États-Unis et Israël ont représenté environ 60 % des cibles géographiques connues d'APT42, y compris d'anciens hauts responsables militaires israéliens et des personnes affiliées aux deux campagnes présidentielles américaines. Ces activités témoignent des efforts agressifs et multidimensionnels déployés par le groupe pour modifier rapidement son orientation opérationnelle afin de soutenir les priorités politiques et militaires de l'Iran.


Pics de ciblage d'APT42 contre Israël

En avril 2024, APT42 a intensifié son ciblage des utilisateurs basés en Israël. Il a recherché des personnes ayant des liens avec l'armée israélienne et le secteur de la défense, ainsi que des diplomates, des universitaires et des ONG.

APT42 utilise une variété de tactiques différentes dans le cadre de ses campagnes d'hameçonnage par courriel : y compris l'hébergement de logiciels malveillants, de pages d'hameçonnage et de redirections malveillantes. Ils essaient généralement d'abuser de services tels que Google (Sites, Drive, Gmail et autres), Dropbox, OneDrive et autres à ces fins.

Pour perturber APT42, le TAG a réinitialisé tous les comptes compromis, envoyé des avertissements d'attaquants soutenus par le gouvernement aux utilisateurs ciblés, mis à jour les détections, perturbé les pages Google Sites malveillantes et ajouté des domaines et URL malveillants à la liste de blocage Safe Browsing - démantelant ainsi l'infrastructure du groupe.


  • Hameçonnage sur Google Sites : Le TAG annonce avoir supprimé plusieurs pages Google Sites créées par APT42 qui se faisaient passer pour une pétition de l'Agence juive légitime pour Israël appelant le gouvernement israélien à entamer une médiation pour mettre fin au conflit.

    Le texte de la pétition était intégré dans des fichiers images au lieu de HTML. La page Sites comprenait une URL de redirection ngrok, un service gratuit pour les développeurs qu'APT42 a déjà utilisé pour rediriger les utilisateurs vers des pages d'hameçonnage.


  • Cibler les militaires, la défense, les diplomates, les universitaires et la société civile : selon le TAG, APT42 a tenté d'utiliser l'ingénierie sociale pour cibler d'anciens hauts responsables de l'armée israélienne et un cadre de l'aérospatiale en envoyant des courriels se faisant passer pour un journaliste demandant des commentaires sur les récentes frappes aériennes. Ils ont également envoyé des courriels d'ingénierie sociale à des diplomates israéliens, des universitaires, des ONG et des entités politiques.

    Les courriels ont été envoyés à partir de comptes hébergés par divers fournisseurs de services de messagerie et ne contenaient pas de contenu malveillant. Ces courriels étaient probablement destinés à susciter l'engagement des destinataires avant qu'APT42 ne tente de compromettre les cibles. Google a suspendu les comptes Gmail associés à APT42.

    Une campagne menée en juin 2024 auprès d'ONG israéliennes a utilisé une pièce jointe PDF bénigne usurpant l'identité du Project Aladdin, qui contenait un lien URL raccourci redirigeant vers une page d'atterrissage d'un kit d'hameçonnage conçu pour recueillir les identifiants de connexion à Google.

  • Hameçonnage ciblé d'informations d'identification : le succès d'APT42 en matière d'hameçonnage d'informations d'identification est le résultat d'une persévérance et d'un recours massif à l'ingénierie sociale pour paraître plus crédible aux yeux de ses cibles. Ils créent régulièrement des comptes ou des domaines qui usurpent l'identité d'organisations susceptibles d'intéresser la cible. Par exemple :

    • APT42 s'est fait passer pour le légitime Washington Institute for Near East Policy dans de multiples campagnes depuis avril 2024, ciblant des diplomates et des journalistes israéliens, des chercheurs de groupes de réflexion américains et d'autres personnes. Dans ces campagnes, les attaquants ont défini le nom d'affichage de l'email comme étant celui d'un chercheur légitime affilié à l'Institut de Washington, mais l'adresse email sous-jacente ne provenait pas du domaine officiel .org.
    • APT42 enregistre des domaines typosquat très proches des domaines légitimes des organisations dont ils usurpent l'identité. Par exemple, APT42 a utilisé le domaine understandingthewar[.]org pour cibler des membres de l'armée américaine en se faisant passer pour l'Institut pour l'étude de la guerre. De même, APT42 a enregistré brookings[.]email pour usurper l'identité de la Brookings Institution et l'a utilisé dans de multiples campagnes visant Israël.


Ciblage de personnes en rapport avec l'élection présidentielle américaine

Selon des rapports antérieurs, Google s'efforce d'identifier et de perturber les activités malveillantes dans le contexte des élections démocratiques. Par exemple, au cours du cycle des élections présidentielles américaines de 2020, ils ont perturbé les tentatives d'APT42 visant à cibler des comptes associés aux campagnes présidentielles de Biden et de Trump.

Au cours du cycle actuel des élections présidentielles américaines, le TAG a détecté et perturbé une cadence faible mais régulière de l'activité d'hameçonnage d'informations d'identification du groupe C d'APT42. En mai et juin, les cibles d'APT42 comprenaient les comptes de messagerie personnels d'une douzaine de personnes affiliées au président Biden et à l'ancien président Trump, y compris des fonctionnaires actuels et anciens du gouvernement américain et des personnes associées aux campagnes respectives. Le TAG affirme avoir bloqué de nombreuses tentatives d'APT42 de se connecter aux comptes de messagerie personnels des personnes ciblées.

Des rapports publics récents montrent qu'APT42 a réussi à pénétrer dans des comptes de plusieurs fournisseurs de messagerie. Les travaux du TAG ont confirmé que le groupe avait réussi à accéder au compte Gmail personnel d'un consultant politique de premier plan. En plus des actions habituelles consistant à sécuriser rapidement tout compte compromis et à envoyer aux comptes ciblés des avertissements aux attaquants soutenus par le gouvernement, le TAG a également transmis cette activité malveillante aux forces de l'ordre début juillet et continue à coopérer avec elles.

Dans le même temps, ils ont également informé les responsables de la campagne que Google constatait une augmentation des activités malveillantes provenant d'acteurs étatiques étrangers et souligné l'importance de renforcer les protections de sécurité des comptes de courrier électronique personnels. Le TAG poursuit son observation des tentatives infructueuses d'APT42 pour compromettre les comptes personnels de personnes affiliées au président Biden, à la vice-présidente Harris et à l'ancien président Trump, y compris des fonctionnaires actuels et anciens et des personnes associées aux campagnes.


Comprendre l'hameçonnage d'informations d'identification sur mesure d'APT42

Dans les campagnes de phishing que TAG a perturbées, APT42 utilise souvent des tactiques telles que l'envoi de liens de phishing soit directement dans le corps du courriel, soit sous la forme d'un lien dans une pièce jointe PDF par ailleurs inoffensive. Dans ces cas-là, APT42 attire la cible avec un leurre d'ingénierie sociale pour organiser une réunion vidéo, puis envoie un lien vers une page d'atterrissage où la cible est invitée à se connecter et envoyée vers une page d'hameçonnage.

Une campagne comportait un leurre de phishing avec un lien Google Sites contrôlé par l'attaquant qui dirigeait la cible vers une fausse page d'atterrissage Google Meet. D'autres leurres concernaient OneDrive, Dropbox et Skype. Au cours des six derniers mois, le TAG A systématiquement perturbé la capacité de ces attaquants à abuser de Google Sites dans plus de 50 campagnes similaires.

Un autre modèle de campagne d'APT42 consiste à envoyer des pièces jointes PDF légitimes dans le cadre d'un leurre d'ingénierie sociale afin d'instaurer la confiance et d'encourager la cible à s'engager sur d'autres plateformes telles que Signal, Telegram ou WhatsApp. Le TAG prévoit que les attaquants utiliseront ensuite ces plateformes pour envoyer un kit d'hameçonnage afin de collecter des informations d'identification.

APT42 dispose d'un certain nombre de kits d'hameçonnage qui ciblent diverses pages de connexion, notamment :

  • GCollection/LCollection/YCollection : un outil sophistiqué de collecte d'informations d'identification observé par TAG, capable de collecter les informations d'identification des utilisateurs de Google, Hotmail et Yahoo respectivement. Ce kit a connu une évolution constante depuis qu'il a été observé pour la première fois par APT42 en janvier 2023. La version actuelle met en œuvre un flux transparent qui prend en charge l'authentification multifactorielle, les codes PIN des appareils et les codes de récupération à usage unique sur les trois plateformes. Une série d'URL de pages d'atterrissage est incluse dans les indicateurs de compromission.
  • DWP : un kit d'hameçonnage à l'intérieur du navigateur, souvent diffusé via un raccourcisseur d'URL, moins complet que GCollection.


Ce spear phishing s'appuie sur la reconnaissance, en utilisant des outils de marketing open-source et de recherche sur les médias sociaux pour identifier les adresses électroniques personnelles qui pourraient ne pas avoir d'authentification multifactorielle par défaut ou d'autres mesures de protection que l'on voit généralement sur les comptes d'entreprise.


APT42 a également développé une forte compréhension des fournisseurs de messagerie qu'ils ciblent, recherchant souvent les paramètres de sécurité des comptes qu'ils ciblent en utilisant des flux de travail de connexion ou de récupération échoués pour déterminer le deuxième facteur d'authentification configuré afin de mieux cibler leurs tentatives de phishing initiales.

Par exemple, dans certains cas, ils ont identifié qu'un compte était configuré pour utiliser des invites de périphériques comme second facteur accepté et ont ajouté leur support dans leur kit d'hameçonnage GCollection. APT42 combine ensuite cette approche avec la connaissance de l'emplacement géographique actuel de la cible, basée sur des recherches publiques ou sur l'ingénierie sociale. Par conséquent, les tentatives de connexion et de récupération d'APT42 proviennent souvent du bon emplacement géographique, avec les bonnes informations d'identification et le bon deuxième facteur d'authentification de l'utilisateur.

Une fois qu'APT42 a accédé à un compte, il ajoute souvent des mécanismes d'accès supplémentaires, notamment en modifiant les adresses électroniques de récupération et en utilisant des fonctions qui permettent d'utiliser des applications qui ne prennent pas en charge l'authentification multifactorielle, comme les mots de passe spécifiques à une application dans Gmail et les mots de passe d'applications tierces dans Yahoo. Le programme de protection avancée de Google révoque et désactive ces mots de passe spécifiques aux applications dans Gmail, protégeant ainsi les utilisateurs de cette tactique.

Conclusion

APT42 est un acteur sophistiqué et persistant qui ne montre aucun signe d'arrêt dans ses tentatives de cibler les utilisateurs et de déployer de nouvelles tactiques. Ce printemps et cet été, il a démontré sa capacité à mener de nombreuses campagnes d'hameçonnage simultanées, particulièrement axées sur Israël et les États-Unis. À mesure que les hostilités entre l'Iran et Israël s'intensifient, il faut prévoir une augmentation des campagnes d'APT42 dans ces pays. Il faut également rester vigilants quant au ciblage des élections américaines. Le TAG encourage toutes les personnes à haut risque, y compris les élus, les candidats, les travailleurs de campagne, les journalistes, les travailleurs électoraux, les fonctionnaires et autres, de renforcer les protections contre de telles tactiques.

Source : L'équipe chargée des menaces de Google (Threat Analysis Group)

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Les fichiers PDF chiffrés constituent la dernière astuce des pirates informatiques pour vous transmettre des logiciels malveillants, qui exfiltrent ensuite vos informations personnelles

Microsoft : « activez l'authentification multifactorielle ou perdez l'accès aux portails d'administration en octobre ». L'entreprise veut réduire la surface d'attaque des utilisateurs de sa plateforme Azure

Des pirates informatiques participants à la DEF CON ont identifié des vulnérabilités dans les machines à voter qui seront utilisées lors des élections américaines de 2024, mais manque de temps pour les corriger

Une erreur dans cette actualité ? Signalez-nous-la !

5 commentaires
Commenter Signaler un problème
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 26/08/2024 à 11:31
Et s'il s'avérait qu'en réalité les hackers sont des membres du parti démocrate, est-ce que Google le dirait? Je ne pense pas
1  1 
noremorse
Avatar de noremorse
Membre actif https://www.developpez.com
Le 26/08/2024 à 22:14
Mouais Google quoi. L’empire occidental et ses mensonges permanents
0  1