Centre national la cyber-sécurité of Great Britain (NCSC) fait état de cyberattaques régulières menées par des pirates de Russie et d'Iran.
Selon le rapport d'expertise, les groupes de hackers SEABORGIUM (alias Callisto Group/TA446/COLDRIVER/TAG-53) et TA453 (alias APT42/Charming Kitten/Yellow Garuda/ITG18) utilisent des techniques de phishing ciblées pour attaquer des institutions et des personnes privées dans le but de collecte d'informations.
Bien que ces deux groupes ne soient pas de mèche, ils se trouvent en quelque sorte séparés l'un de l'autre attaque les mêmes types d'organisations, qui comprenaient l'année dernière des organismes gouvernementaux, des organisations non gouvernementales, des organisations des secteurs de la défense et de l'éducation, ainsi que des individus tels que des politiciens, des journalistes et des militants.
Le phishing ciblé est, pour ainsi dire, une technique sophistiquée Hameçonnage, lorsqu'un attaquant cible une personne spécifique et prétend détenir des informations présentant un intérêt particulier pour sa victime. Dans le cas de SEABORGIUM et TA453, ils s'en assurent en explorant les ressources disponibles gratuitement pour connaître leur cible.
Les deux groupes ont créé de faux profils sur les réseaux sociaux et se sont fait passer pour des connaissances des victimes ou des experts dans leur domaine et des journalistes. Il y a généralement un contact inoffensif au début alors que SEABORGIUM et TA453 tentent de construire une relation avec leur victime pour gagner sa confiance. Les experts notent que cela peut durer longtemps. Les pirates envoient alors un lien malveillant, l'intègrent dans un e-mail ou dans un document partagé à Microsoft One Drive ou Google Drive.
Dans le centre la cyber-sécurité a signalé que "dans un cas, [TA453] a même organisé un appel Zoom pour partager une URL malveillante dans le chat pendant l'appel". L'utilisation de plusieurs fausses identités dans une seule attaque de phishing pour augmenter la crédibilité a également été signalée.
Suivre les liens amène généralement la victime à une fausse page de connexion contrôlée par les attaquants, et après avoir entré ses informations d'identification, elle est piratée. Les pirates accèdent ensuite aux boîtes de réception de leurs victimes pour voler des e-mails, des pièces jointes et rediriger les e-mails entrants vers leurs comptes. De plus, ils utilisent les contacts enregistrés dans l'e-mail compromis pour trouver de nouvelles victimes lors d'attaques ultérieures et recommencer le processus.
Les pirates des deux groupes utilisent des comptes de fournisseurs de messagerie courants pour créer de faux identifiants lorsqu'ils interagissent pour la première fois avec une cible. Ils ont également créé de faux domaines pour des organisations apparemment légitimes. Entreprise de la cyber-sécurité Proofpoint, qui suit le groupe iranien TA2020 depuis 453, fait largement écho aux conclusions du NCSC : "[TA453] les campagnes peuvent commencer par des semaines de conversations amicales avec des comptes créés par des pirates avant de tenter de pirater." Ils ont également noté que les autres cibles du groupe comprenaient des chercheurs en médecine, un ingénieur en aérospatiale, un agent immobilier et des agences de voyage.
En outre, le cabinet a émis l'avertissement suivant : « Les chercheurs travaillant sur les questions de sécurité internationale, en particulier ceux qui se spécialisent dans les études sur le Moyen-Orient ou la sécurité nucléaire, doivent faire preuve d'une vigilance accrue lorsqu'ils reçoivent des courriels non sollicités. Par exemple, les experts contactés par les journalistes devraient vérifier le site Web de la publication pour s'assurer que l'adresse e-mail appartient à un journaliste légitime."
Intéressant aussi :