Cybersécurité : des pirates iraniens laissent fuiter des tutoriels vidéos sur la toile
L’histoire pourrait paraître cocasse si elle ne révélait pas la professionnalisation galopante des groupes de cyberattaquants à travers le monde. L’un des principaux groupes de pirates informatiques iraniens a en effet laissé exposé en ligne un serveur contenant des tutoriels destinés, selon la division de cybersécurité X-Force d’IBM à l’origine de la découverte, à former ses nouvelles recrues.
Pour les experts de la branche de cybersécurité d’IBM, ces vidéos ont été enregistrées intentionnellement par ce groupe via l’application BandiCam, spécialisée dans l’enregistrement d’écran. Les vidéos montraient des pirates informatiques iraniens effectuant diverses tâches, et comprenaient des étapes sur la manière de détourner le compte d’une victime à l’aide d’une liste de références compromises.
Les comptes de messagerie électronique étaient les principales cibles, mais les comptes de médias sociaux étaient également accessibles si les informations d’identification compromises étaient disponibles pour la cible. La branche X-Force décrit le processus comme étant méticuleux, les opérateurs accédant à chaque compte de victime, indépendamment de l’importance du profil en ligne.
Selon les experts d’IBM, cela comprend l’accès aux comptes des victimes pour la diffusion de vidéos et de musique en continu, la livraison de pizzas, les rapports de crédit, l’aide financière aux étudiants, les services publics municipaux, les banques, les sites de produits pour bébés, les jeux vidéo et les opérateurs de téléphonie mobile. Dans certains cas, les opérateurs ont validé les références d’au moins 75 sites web différents.
Des méthodes élaborées
Les pirates informatiques ont accédé à la section des paramètres de chaque compte et ont recherché des informations privées qui pourraient ne pas être incluses dans d’autres comptes en ligne, dans le cadre de leurs efforts pour établir un profil aussi complet que possible sur chaque cible.
IBM n’a pas précisé comment les pirates ont obtenu les informations d’identification de chaque victime. La manière dont ces derniers ont infecté les cibles avec des logiciels malveillants qui vidaient les mots de passe de leurs navigateurs, ou si les opérateurs ont acheté les informations d’identification sur le marché clandestin n’a pas non plus été clarifiée.
Dans d’autres vidéos, le pirate iranien a également passé en revue les étapes de l’exfiltration des données de chaque compte. Cela comprenait l’exportation de tous les contacts, photos et documents du compte à partir des sites de stockage en ligne associés, tels que Google Drive. Les chercheurs de X-Force affirment que dans certains cas, les pirates ont également accédé à l’utilitaire Google Takeout d’une victime pour exporter des détails tels que le contenu complet de son compte Google, y compris l’historique des lieux, les informations provenant de Chrome et des appareils Android associés.
Par la suite, les pirates ont également ajouté les identifiants de messagerie électronique de la victime à une instance Zimbra exploitée par le groupe iranien, ce qui permettrait aux pirates de surveiller à distance plusieurs comptes à partir d’un seul panneau de commande. D’autres vidéos ont également montré les cyberattaquants en train de créer des comptes de messagerie fantômes qui pourraient être utilisés pour de futures opérations.
Des victimes identifiées
Les chercheurs d’IBM ont indiqué avoir pu identifier certaines des victimes de ces pirates iraniens. Il s’agissait dans un cas d’un membre de la Marine américaine et, dans un autre cas, d’un officier de la Marine grecque. Les vidéos ont également montré des tentatives infructueuses d’accès à des comptes encore plus critiques, tels que des comptes de fonctionnaires du Département d’Etat américain.
Les vidéos où les attaques de compromission de compte ont échoué étaient généralement pour des comptes verrouillés par une authentification à deux facteurs (2FA), ont déclaré les chercheurs dans un rapport partagé avec ZDNet cette semaine. Les chercheurs d’IBM ont déclaré que le serveur où ils ont trouvé toutes ces vidéos faisait partie de l’infrastructure d’attaque d’un groupe iranien qu’ils ont suivi sous le nom de ITG18, mais plus communément connu sous les noms de Charming Kitten, Phosphorous, et APT35.
Ce groupe a été l’une des équipes de piratage informatique les plus actives de l’Iran, parrainée par l’Etat. Parmi les campagnes les plus récentes du groupe figurent des attaques contre la campagne présidentielle américaine de 2020, mais aussi contre des cadres de l’industrie pharmaceutique américaine.
Les campagnes précédentes du groupe ITG18/APT35 ont également ciblé l’armée américaine, les régulateurs financiers américains et les chercheurs nucléaires américains, domaines d’intérêt pour l’Etat iranien en raison des tensions militaires croissantes entre les deux pays, des sanctions économiques imposées à l’Iran et de l’expansion du programme nucléaire iranien.
Source : ZDNet.com
