Une Unité D’espionnage Iranienne Présumée Utilise Facebook Pour Espionner Le Personnel Militaire Américain
JAKARTA - L’équipe de renseignement sur les menaces de Facebook dit avoir obtenu un groupe de menaces persistantes avancées (APT) de l’Iran. Le groupe a jusqu’à présent utilisé les réseaux sociaux dans le cadre de ses efforts pour propager des logiciels malveillants et mener des opérations de cyberespionnage, en particulier aux États-Unis.
Advanced Persistent Threat (APT) Group est un auteur de menaces cachées, qui proviennent généralement de groupes parrainés par l’État ou l’État. Ce groupe a obtenu un accès non autorisé au réseau informatique et est resté indétectable pendant longtemps.
Mike Dvilyanski, responsable des enquêtes sur le cyberespionnage chez Facebook, et David Agranovich, directeur de l’ingérence dans les menaces chez Facebook, ont rapporté que le groupe surnommé « Tortoiseshell » prévoyait de cibler le personnel militaire et d’entreprise dans les industries de la défense et de l’aérospatiale aux États-Unis, au Royaume-Uni ou en Europe.
« Ces activités caractérisent des opérations de ressources bonnes et persistantes tout en s’appuyant sur des mesures de sécurité opérationnelles relativement robustes pour cacher qui est derrière elles », a déclaré l’équipe Facebook.
Facebook empêche les domaines malveillants créés par ce groupe d’être partagés sur sa plate-forme. Facebook a également supprimé le compte du groupe et notifié les victimes potentielles qui auraient été ciblées par le groupe.
La société de médias sociaux a déclaré que sa plate-forme était utilisée dans des opérations de cyberespionnage sur la plate-forme plus large Tortoiseshell. L’activité du groupe sur Facebook se concentre sur l’ingénierie sociale, en essayant d’attirer les utilisateurs du réseau social, où ils peuvent être exposés à des logiciels malveillants, et en partageant des logiciels malveillants sur Facebook.
FireEye, qui suit Tortoiseshell sous le nom de UNC1833, a déclaré qu’à partir de 2018, le groupe s’est concentré sur des cibles au Moyen-Orient. Ceci est lié à un autre groupe apt iranien, APT35.
« L’Iran reste un acteur cybernétique agressif qu’il ne faut pas ignorer. Bien qu’une grande partie de leur activité se concentre au Moyen-Orient, ils ne se limitent plus à opérer sur leur territoire », a déclaré Sarah Jones, analyste en chef senior chez Mandiant Threat Intelligence.
Méthode de l’écaille de tortue
Facebook affirme que le gang tortoiseshell a créé de faux personnages en ligne en contactant des cibles, s’impliquant parfois pendant des mois.
« Ces comptes se font souvent passer pour des recruteurs et des employés d’entreprises de défense et d’aérospatiale de leurs pays cibles. D’autres personnages prétendent travailler dans l’hôtellerie, la médecine, le journalisme, les ONG et les compagnies aériennes », a déclaré Facebook.
Selon Facebook, ce groupe APT a créé des dizaines de faux domaines conçus pour attirer des personnes de différents secteurs et intérêts. Cela inclut cinq URL contenant le nom « Trump ». D’autres faux sites ont falsifié des entrepreneurs de la défense, des sites de carrière du département du Travail des États-Unis et des fournisseurs de messagerie.
Tortoiseshell utilise de faux domaines comme appât pour attirer ses cibles hors de Facebook afin qu’il puisse espioner, voler des informations ou propager des logiciels malveillants.
« Ce domaine semble avoir été utilisé pour voler les informations de connexion au compte en ligne de la victime (par exemple, e-mail d’entreprise et personnel, outils de collaboration, médias sociaux) », a déclaré Facebook. « Ils semblent également être utilisés pour profiler leurs systèmes numériques cibles afin d’obtenir des informations sur les appareils des gens, les réseaux auxquels ils se connectent et les logiciels qu’ils installent pour éventuellement fournir des logiciels malveillants conçus spécifiquement pour les cibles. »
Facebook pense que le groupe utilise des logiciels malveillants spéciaux qui comprennent des chevaux de Troie d’accès à distance complets, des outils d’espionnage d’appareils et de réseaux et des enregistreurs de frappe. Facebook a indiqué que certains des logiciels malveillants qu’il a utilisés ont été développés par la société informatique de Téhéran Mahak Rayan Afraz, qui a des liens avec le Corps des gardiens de la révolution islamique.
Le mercredi 14 juillet, Proofpoint a décrit une autre attaque de phishing iranienne opérée par TA453, également connue sous le nom de Charming Kitten. Ils visent à obtenir des informations sur la politique étrangère, un aperçu des mouvements dissidents iraniens et une compréhension des négociations nucléaires américaines.