Un récent rapport de Google pointe le groupe de pirates dénommé APT42 comme responsable du récent piratage de l’équipe de campagne de Donald Trump. APT42, dont des rapports soulignent qu’il est lié au Corps des gardiens de la révolution iranienne, a ciblé une douzaine de personnes associées aux équipes de campagnes de Trump et de Biden, selon le groupe d'analyse des menaces de Google. APT42, qui travaillerait pour le Corps des gardiens de la révolution iranienne, a ciblé une douzaine de personnes associées aux équipes de campagnes de Trump et de Biden, selon le groupe d'analyse des menaces de Google. Le groupe d'analyse des menaces de Google a publié un rapport sur APT42, un groupe qui, selon lui, multiplie les actions dans le but de compromettre les campagnes présidentielles démocrate et républicaine aux USA, ainsi que des organisations militaires, gouvernementales et diplomatiques israéliennes.
En mai et juin, APT42 a ciblé une douzaine de personnes associées à Trump et à Joe Biden, y compris d'anciens et d'actuels responsables gouvernementaux et des personnes associées aux deux campagnes politiques. Selon Google, APT42 continue de cibler les responsables des campagnes républicaines et démocrates.
« En termes de collecte, ils frappent tous les côtés », déclare John Hultquist, qui dirige le renseignement sur les menaces chez Mandiant, la société de cybersécurité appartenant à Google, qui travaille en étroite collaboration avec son groupe d'analyse des menaces. « Ils s'intéressent aux deux candidats parce que ce sont eux qui tracent l'avenir de la politique américaine au Moyen-Orient », explique Hultquist.
Une seule équipe de campagne, cependant, semble avoir vu ses systèmes pénétrés avec succès, mais aussi des fichiers sensibles divulgués aux médias – celle de Donald Trump.
Dans son rapport, Google décrit les opérations de phishing typiques d'APT42, qui vont de l'orientation des victimes vers une fausse page Google Meet qui tente de les inciter à saisir leur nom d'utilisateur et leur mot de passe, à l'incitation à la conversation sur une plateforme de messagerie telle que Telegram, WhatsApp ou Signal, où les pirates envoient ensuite à la victime une boîte à outils de phishing conçue pour intercepter ses identifiants, ainsi que des codes d'authentification à deux facteurs ou des codes de récupération de compte.
Au-delà de son ciblage de la campagne présidentielle, Google indique qu'APT42 a également ciblé des organisations israéliennes avec des sites de phishing qui se font passer pour des groupes israéliens ou liés à Israël, tels que le Washington Institute for Near East Policy, la Brookings Institution, l'Agence juive et le Project Aladdin.
Google affirme avoir bloqué de nombreuses tentatives de connexion aux comptes des responsables des deux campagnes, avoir envoyé des avertissements aux personnes concernées et avoir collaboré avec les services de police enquêtant sur les tentatives d'intrusion. Le FBI a lancé son enquête sur les attaques de phishing en juin, selon des rapports.
Un précédent rapport de Microsoft met en avant les actions présumées de plusieurs groupes iraniens dans le but d’interférer sur les élections présidentielles américaines via des attaques par phishing
Envoyé par Extrait du rapport de Microsoft
Aujourd'hui, nous partageons des informations sur des activités que nous avons suivies et qui indiquent de plus en plus que l'Iran a l'intention d'influencer l'élection présidentielle américaine de cette année. Ces dernières semaines, des groupes liés au gouvernement iranien ont intensifié deux types d'activités. Premièrement, ils ont jeté les bases de campagnes d'influence sur des thèmes électoraux en vogue et ont commencé à activer ces campagnes dans le but apparent de susciter la controverse ou d'influencer les électeurs, en particulier dans les États en transition. Deuxièmement, ils ont lancé des opérations qui, selon Microsoft, sont conçues pour obtenir des renseignements sur les campagnes politiques et leur permettre d'influencer les élections à l'avenir.
Nous examinons ces activités dans un nouveau rapport publié aujourd'hui, qui les détaille. Quatre exemples illustrent ce que nous pouvons attendre de plus en plus de l'Iran à l'approche du mois de novembre.
Un groupe iranien a lancé des sites d'information clandestins ciblant des groupes d'électeurs américains aux extrémités opposées de l'échiquier politique. L'un de ces sites, appelé Nio Thinker, s'adresse à un public de gauche et insulte l'ancien président Donald Trump, le qualifiant d'"éléphant opioïde dans le magasin de porcelaine des MAGA" et de "litigiosaure fou furieux". Un autre site, appelé Savannah Time, prétend être une "source fiable d'informations conservatrices dans la ville dynamique de Savannah" et se concentre sur des sujets tels que les questions LGBTQ+ et le changement de sexe. Les preuves que nous avons trouvées suggèrent que ces sites utilisent des services basés sur l'IA pour plagier au moins une partie de leur contenu à partir de publications américaines.
Depuis le mois de mars, un autre groupe iranien prépare le terrain pour des opérations d'influence centrées sur les États-Unis. Nous pensons que ce groupe pourrait se préparer à des activités encore plus extrêmes, y compris l'intimidation ou l'incitation à la violence contre des personnalités ou des groupes politiques, dans le but ultime d'inciter au chaos, de saper les autorités et de semer le doute quant à l'intégrité des élections.
Un autre groupe iranien, lié au Corps des gardiens de la révolution islamique (CGRI), a envoyé en juin un courriel de spear phishing à un haut responsable d'une campagne présidentielle, à partir du compte de messagerie compromis d'un ancien conseiller principal. Le courriel contenait un lien qui dirigeait le trafic vers un domaine contrôlé par le groupe avant de l'acheminer vers le site web du lien fourni. Quelques jours plus tard, le même groupe a tenté en vain de se connecter à un compte appartenant à un ancien candidat à la présidence. Nous avons depuis informé les personnes visées.
Un quatrième groupe iranien a compromis le compte d'un employé du gouvernement d'un comté dans un État en pleine mutation. La compromission faisait partie d'une opération plus large de pulvérisation de mots de passe et Microsoft Threat Intelligence n'a pas observé l'acteur obtenir un accès supplémentaire au-delà du compte unique, ce qui rend difficile de discerner les objectifs ultimes du groupe. Depuis le début de l'année 2023, les opérations du groupe se sont concentrées sur la collecte de renseignements stratégiques, en particulier dans les secteurs des satellites, de la défense et de la santé, avec un certain ciblage d'organisations gouvernementales américaines, souvent dans des États en pleine mutation.
Le rapport Microsoft Threat Intelligence Report que nous publions aujourd'hui provient du Microsoft Threat Analysis Center, ou MTAC, qui suit les opérations d'influence menées par des groupes d'États-nations spécifiques dans le monde entier. Le MTAC suit régulièrement les menaces qui pèsent sur les élections dans le cadre du travail plus large de Microsoft intitulé Democracy Forward. Ce rapport s'appuie sur le travail effectué par l'équipe pour suivre les menaces qui pèsent sur les récentes élections en Inde, au Royaume-Uni et en France. La mise à jour d'aujourd'hui inclut également les activités que nous avons observées de la part d'acteurs défendant les objectifs géopolitiques de la Russie et de la Chine, chacun à des degrés divers d'efficacité.
Nous partageons ce type de renseignements afin que les électeurs, les institutions gouvernementales, les candidats, les partis et d'autres puissent être conscients des campagnes d'influence et se protéger contre les menaces. Nous avons également formé les candidats et les partis impliqués dans les élections cette année, en nous appuyant sur nos offres de longue date, comme AccountGuard. Enfin, Microsoft ne soutiendra pas un candidat ou un parti politique. Notre objectif en publiant ces rapports est de souligner l'importance de la lutte contre les "deepfakes" électoraux et de la promotion de l'éducation et de l'apprentissage sur l'ingérence étrangère possible.
Nous examinons ces activités dans un nouveau rapport publié aujourd'hui, qui les détaille. Quatre exemples illustrent ce que nous pouvons attendre de plus en plus de l'Iran à l'approche du mois de novembre.
Un groupe iranien a lancé des sites d'information clandestins ciblant des groupes d'électeurs américains aux extrémités opposées de l'échiquier politique. L'un de ces sites, appelé Nio Thinker, s'adresse à un public de gauche et insulte l'ancien président Donald Trump, le qualifiant d'"éléphant opioïde dans le magasin de porcelaine des MAGA" et de "litigiosaure fou furieux". Un autre site, appelé Savannah Time, prétend être une "source fiable d'informations conservatrices dans la ville dynamique de Savannah" et se concentre sur des sujets tels que les questions LGBTQ+ et le changement de sexe. Les preuves que nous avons trouvées suggèrent que ces sites utilisent des services basés sur l'IA pour plagier au moins une partie de leur contenu à partir de publications américaines.
Depuis le mois de mars, un autre groupe iranien prépare le terrain pour des opérations d'influence centrées sur les États-Unis. Nous pensons que ce groupe pourrait se préparer à des activités encore plus extrêmes, y compris l'intimidation ou l'incitation à la violence contre des personnalités ou des groupes politiques, dans le but ultime d'inciter au chaos, de saper les autorités et de semer le doute quant à l'intégrité des élections.
Un autre groupe iranien, lié au Corps des gardiens de la révolution islamique (CGRI), a envoyé en juin un courriel de spear phishing à un haut responsable d'une campagne présidentielle, à partir du compte de messagerie compromis d'un ancien conseiller principal. Le courriel contenait un lien qui dirigeait le trafic vers un domaine contrôlé par le groupe avant de l'acheminer vers le site web du lien fourni. Quelques jours plus tard, le même groupe a tenté en vain de se connecter à un compte appartenant à un ancien candidat à la présidence. Nous avons depuis informé les personnes visées.
Un quatrième groupe iranien a compromis le compte d'un employé du gouvernement d'un comté dans un État en pleine mutation. La compromission faisait partie d'une opération plus large de pulvérisation de mots de passe et Microsoft Threat Intelligence n'a pas observé l'acteur obtenir un accès supplémentaire au-delà du compte unique, ce qui rend difficile de discerner les objectifs ultimes du groupe. Depuis le début de l'année 2023, les opérations du groupe se sont concentrées sur la collecte de renseignements stratégiques, en particulier dans les secteurs des satellites, de la défense et de la santé, avec un certain ciblage d'organisations gouvernementales américaines, souvent dans des États en pleine mutation.
Le rapport Microsoft Threat Intelligence Report que nous publions aujourd'hui provient du Microsoft Threat Analysis Center, ou MTAC, qui suit les opérations d'influence menées par des groupes d'États-nations spécifiques dans le monde entier. Le MTAC suit régulièrement les menaces qui pèsent sur les élections dans le cadre du travail plus large de Microsoft intitulé Democracy Forward. Ce rapport s'appuie sur le travail effectué par l'équipe pour suivre les menaces qui pèsent sur les récentes élections en Inde, au Royaume-Uni et en France. La mise à jour d'aujourd'hui inclut également les activités que nous avons observées de la part d'acteurs défendant les objectifs géopolitiques de la Russie et de la Chine, chacun à des degrés divers d'efficacité.
Nous partageons ce type de renseignements afin que les électeurs, les institutions gouvernementales, les candidats, les partis et d'autres puissent être conscients des campagnes d'influence et se protéger contre les menaces. Nous avons également formé les candidats et les partis impliqués dans les élections cette année, en nous appuyant sur nos offres de longue date, comme AccountGuard. Enfin, Microsoft ne soutiendra pas un candidat ou un parti politique. Notre objectif en publiant ces rapports est de souligner l'importance de la lutte contre les "deepfakes" électoraux et de la promotion de l'éducation et de l'apprentissage sur l'ingérence étrangère possible.
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
Cybercriminalité : la France découvre une vaste campagne de désinformation russe en Europe, 193 sites Web, dirigé depuis la Russie, diffusent de fausses nouvelles La guerre de l'information à l'ère de l'IA : le FBI annonce la perquisition de 968 comptes automatisés sur X en provenance de Russie, qui diffusaient de la propagande aux États-Unis et dans d'autres pays Microsoft veut que le Congrès interdise les fraudes par deepfake générées par l'IA, avec une "loi sur la fraude par deepfake" qui donnera aux autorités un cadre juridique pour poursuivre les fraudes par l'IA 
