Un groupe de pirates iraniens, connu sous le nom de TA453, étend ses opérations de cyberespionnage à de nouvelles cibles et utilise de nouvelles méthodes pour accéder aux comptes et aux systèmes de ses victimes. Le ministère américain de la justice et d'autres chercheurs ont établi un lien entre TA453 et le Corps des gardiens de la révolution islamique (IRGC) d'Iran. TA453 recoupe également d'autres groupes publiquement connus pour leur alignement sur le gouvernement iranien, notamment Charming Kitten, Phosphorus et APT42. Auparavant, le groupe concentrait ses opérations mondiales sur les universitaires, les journalistes, les chercheurs, les défenseurs des droits de l'homme, les dissidents et les diplomates, en particulier au Moyen-Orient. Toutefois, selon un rapport récent d'une société privée de cybersécurité, au cours des deux dernières années, TA453 a élargi sa liste de cibles à des chercheurs médicaux, des diplomates américains, un agent immobilier opérant près du quartier général de l'armée américaine CENTCOM en Floride, des agences de voyage et un ingénieur en aérospatiale. Ces nouvelles cibles sont peut-être liées à un comportement plus agressif du CGRI et pourraient continuer à s'étendre en fonction des besoins du CGRI.
TA453 utilise généralement des courriels d'hameçonnage et des pixels invisibles pour accéder aux informations d'identification et à la boîte de réception de la victime au fil du temps. Le groupe crée un compte de messagerie qui semble lié à la cible. Après avoir échangé une série de messages anodins, le pirate tente d'exploiter la victime au moyen d'un lien malveillant. Le lien malveillant peut être envoyé dans le premier courriel ou après plusieurs semaines de communication. Si le lien est ouvert, les pirates pourront accéder à la boîte de réception de la victime et récupérer le contenu de ses messages.
Le groupe a commencé à utiliser de nouvelles techniques pour éviter les mesures de sécurité habituelles qui filtrent les courriels de phishing. Au lieu de créer de faux comptes, l'attaquant utilisera un compte compromis, ajoutant ainsi de l'authenticité à la tentative d'hameçonnage. En 2021, l'attaché de presse d'un représentant du gouvernement américain qui avait commenté publiquement les négociations de l'accord nucléaire JCPOA (Joint Comprehensive Plan of Action) a été la cible d'un courriel de phishing envoyé par le compte compromis d'un journaliste iranien local.
Selon le récent rapport, TA453 utilise également ce que l'on appelle l'"imitation de plusieurs personnes (MPI)" pour envoyer des courriels d'hameçonnage. La première campagne a été signalée en juin 2022, lorsque les pirates se sont fait passer pour Aaron Stein, directeur de recherche au Foreign Policy Research Institute (FPRI). La victime a reçu un courriel d'un compte usurpant l'identité de Stein, entamant une conversation sur Israël, les États du Golfe et les accords d'Abraham. Un autre faux compte, celui de Richard Wike, directeur du PEW Research Center, figurait également dans la ligne CC. Un courriel provenant du faux compte Wike a été envoyé le lendemain afin de solliciter une réponse et de rendre la demande initiale plus authentique. Bien qu'aucun lien ou document malveillant n'ait été découvert dans ce cas, TA453 a utilisé des méthodes similaires pour envoyer des liens et des documents OneDrive malveillants.
Le groupe est également connu pour utiliser un personnage plus agressif afin d'encourager la cible à répondre aux courriels malveillants. En 2022, un personnage nommé "Samantha Wolf" a été utilisé pour cibler une société d'énergie au Moyen-Orient. Cependant, plus tard dans l'année, le personnage Wolf a commencé à envoyer des courriels de plainte à un universitaire basé aux États-Unis ainsi qu'à de hauts fonctionnaires américains et européens. Lorsqu'il a ciblé l'universitaire, "Wolf" a envoyé un courriel prétendant que la victime avait causé un accident avec sa voiture et a exigé qu'ils règlent le problème. Les attaquants ont ensuite envoyé des documents infectés par des logiciels malveillants afin d'installer des portes dérobées dans leur système pour permettre une exploitation future.
Les documents malveillants envoyés aux universitaires étaient infectés par le logiciel malveillant GhostEcho (CharmPower). GhostEcho est un logiciel malveillant de premier niveau qui est utilisé pour fournir des capacités supplémentaires et créer une porte dérobée dans le système de la cible. TA453 est également soupçonné d'avoir tenté d'infecter diverses missions diplomatiques à Téhéran et des défenseurs des droits des femmes avec GhostEcho. Le groupe n'était pas connu auparavant pour l'utilisation de logiciels malveillants et, bien que l'on ne sache pas s'il a utilisé GhostEcho dans des attaques ultérieures, cela indique que les techniques évoluent en même temps que les cibles.
L'évolution des objectifs et des capacités du TA453 devrait se poursuivre au cours des prochains mois. Leurs opérations continueront d'être guidées par le CGRI et ses besoins. Toute escalade des tensions, notamment en ce qui concerne le programme nucléaire iranien, entre l'Iran, les États-Unis et leurs alliés, pourrait donner lieu à de nouvelles attaques MPI et tentatives d'hameçonnage contre des responsables gouvernementaux, des journalistes et des universitaires associés aux négociations. TA453 continuera probablement à développer ses capacités MPI pour diffuser des logiciels malveillants dans les systèmes de ses victimes, y compris des cibles coordonnées avec le CGRI. Ces attaques sont plus complexes et plus difficiles à détecter, ce qui augmente le risque que les victimes s'ouvrent à l'exploitation. TA453 développera probablement son utilisation de logiciels malveillants et pourrait les utiliser pour des attaques de suivi plus perturbatrices. Les activistes, les universitaires et d'autres groupes ou individus considérés comme une menace par le CGRI peuvent devenir la cible de ce type d'opérations cybernétiques.
Crisis24 fournit des informations, une planification et une formation approfondies, ainsi que des réponses rapides et exploitables afin de permettre à votre organisation de garder une longueur d'avance sur les risques émergents. Renseignez-vous sur nos capacités de gestion des risques cybernétiques ou adressez-vous à l'un de nos experts.
Auteur(e)(s)
