Charmant chaton APT
Charming Kitten, également connu sous le nom d' APT35 , est une menace persistante avancée, un groupe de pirates soupçonnés d'avoir des liens avec l'Iran. Le groupe est également connu sous d'autres noms : Phosphorus, Ajax Security Team et Newscaster Team. Il a été observé que Charming Kitten avait des campagnes à motivation politique, mais aussi motivées par des raisons financières. Ils visent les militants des droits de l'homme, les médias et le secteur universitaire. La majorité de leurs campagnes poussaient à des attaques contre le Royaume-Uni, les États-Unis, l'Iran et Israël.
Table des matières
Campagnes de chatons charmants
L'une des opérations les plus vastes entreprises par le groupe de hackers a été menée contre HBO en 2017. Les cybercriminels ont divulgué environ un téraoctet de données contenant des informations personnelles sur le personnel de l'entreprise, les émissions à venir, etc. D'autres attaques mises en scène par Charming Kitten, alias APT35, comprenaient l'accès à des données détaillées via un transfuge de l'US Air Force et l'usurpation du site Web d'une société de cybersécurité israélienne pour voler les informations de connexion. L'attaque qui les a liés à l'Iran était une opération de 2018 visant des militants politiques qui ont influencé les sanctions visant le pays. Les agents de Charming Kitten ont utilisé des e-mails de phishing avec des pièces jointes malveillantes et de l'ingénierie sociale pour se faire passer pour des professionnels de haut rang.
L'angle iranien pour chaton charmant
Les campagnes de phishing ciblées faisaient partie de la façon dont les APT35 (Charming Kitten) font des affaires, comme on a pu le voir avec leur campagne de 2019 qui visait à se faire passer pour d'anciens journalistes du Wall Street Journal. Ils ont utilisé cette approche pour enfoncer leurs griffes dans leurs victimes avec la promesse d'interviews ou d'invitations à des webinaires, souvent sur les sujets des affaires iraniennes et internationales de l'époque.
Dans l'un de ces cas, les attaquants ont composé un e-mail en arabe sous une fausse identité imitant le vrai Farnaz Fassihi, un ancien employé du Wall Street Journal avec 17 ans de travail pour la publication. Les agents de Charming Kitten ont présenté ce faux personnage comme travaillant toujours pour le WSJ.
Fausse demande d'entretien. Source : blog.certfa.com
Le contenu de l'e-mail était le suivant :
Bonjour *** ***** ******
Je m'appelle Farnaz Fasihi. Je suis journaliste au journal Wall Street Journal.
L'équipe du Moyen-Orient du WSJ a l'intention d'introduire des individus non locaux qui réussissent dans les pays développés. Vos activités dans les domaines de la recherche et de la philosophie des sciences m'ont amené à vous présenter comme un Iranien à succès. Le directeur de l'équipe Moyen-Orient nous a demandé d'organiser une interview avec vous et de partager certaines de vos réalisations importantes avec notre public. Cette entrevue pourrait motiver les jeunes de notre cher pays à découvrir leurs talents et à cheminer vers le succès.
Inutile de dire que cette interview est un grand honneur pour moi personnellement, et je vous exhorte à accepter mon invitation à l'interview.
Les questions sont conçues de manière professionnelle par un groupe de mes collègues et l'interview qui en résulte sera publiée dans la section Interview hebdomadaire du WSJ. Je vous enverrai les questions et les exigences de l'entretien dès que vous accepterez.
*Note de bas de page : Non local fait référence aux personnes nées dans d'autres pays.
Merci pour votre gentillesse et votre attention.
Farnaz Fasihi
Les liens dans les e-mails étaient dans un format d'URL court, souvent utilisé par les acteurs de la menace pour dissimuler des liens légitimes derrière eux, visant à la collecte de données sur les adresses IP, les versions du navigateur et du système d'exploitation, etc. Cela a ouvert la voie à de nouvelles attaques en renforçant la confiance grâce à des communications répétées et en se préparant au moment d'agir.
Une fois la confiance établie au fil du temps, les pirates envoient un lien contenant les prétendues questions de l'entretien. Les échantillons de l'équipe d'intervention d'urgence informatique en farsi (CERTFA) ont montré que les attaquants utilisaient une méthode utilisée par les hameçonneurs ces dernières années, avec des pages hébergées par Google Sites.
Une fois que la victime ouvre le lien, elle peut être redirigée vers une autre fausse page qui tente d'enregistrer ses identifiants de connexion et son code d'authentification à deux facteurs grâce à l'utilisation d'un kit de phishing.
Résumé des opérations de charmant chaton
En 2015, la première vague d'attaques de phishing a été découverte par des chercheurs, puis des opérations d'espionnage à grande échelle ont été découvertes de 2016 à 2017 par des chercheurs de ClearSky. Les opérateurs de Charming Kitten ont utilisé des attaques d'usurpation d'identité, de harponnage et de point d'eau.
En 2018, les cybercriminels de Charming Kitten ont poursuivi ClearSky avec un site Web frauduleux se faisant passer pour le portail de la société de sécurité. D'autres attaques ont été identifiées cette année-là contre des cibles du Moyen-Orient avec une fausse campagne de courrier électronique et de faux sites Web.
En 2019, les activités de Charming Kitten (APT35) se sont étendues en ciblant des non-Iraniens aux États-Unis, au Moyen-Orient et en France, en ciblant des personnalités publiques en dehors des démons universitaires qu'ils recherchaient initialement. Ils ont commencé à joindre un tracker à leur correspondance par e-mail pour suivre les e-mails transférés vers d'autres comptes, dans l'intention d'obtenir des données de géolocalisation.
>>> Mise à jour du 10 mai 2020 - APT35 (Charming Kitten) impliqué dans la campagne de piratage COVID-19
Un ensemble d'archives Web accessibles au public examinées par des experts en cybersécurité a révélé que le groupe de piratage iranien connu sous le nom de Charming Kitten, entre autres noms, était à l'origine d'une cyberattaque en avril contre la société pharmaceutique californienne Gilead Sciences Inc impliquée dans la recherche sur le COVID-19.
Dans l'un des cas rencontrés par les chercheurs en sécurité, les pirates ont utilisé une fausse page de connexion par e-mail spécialement conçue pour voler les mots de passe d'un haut dirigeant de Gilead, impliqué dans les affaires juridiques et d'entreprise. L'attaque a été trouvée sur un site Web utilisé pour analyser les adresses Web à la recherche d'activités malveillantes, mais les chercheurs n'ont pas été en mesure de déterminer si elle a réussi.
L'un des analystes qui a étudié l'attaque était Ohad Zaidenberg de la société israélienne de cybersécurité ClearSky. Il a commenté que l'attaque d'avril contre Gilead était un effort pour compromettre les comptes de messagerie d'entreprise avec un message qui se faisait passer pour une enquête de journaliste. D'autres analystes, qui n'étaient pas autorisés à commenter publiquement, ont depuis confirmé que l'attaque utilisait des domaines et des serveurs qui étaient auparavant utilisés par le groupe de piratage iranien connu sous le nom de Charming Kitten.
Tableau des tendances des groupes de pirates APT - Source : Securitystack.co
La mission diplomatique de l'Iran auprès des Nations Unies a nié toute implication dans de telles attaques, le porte-parole Alireza Miryousefi déclarant que "le gouvernement iranien ne s'engage pas dans la cyberguerre", ajoutant que "les cyberactivités dans lesquelles l'Iran s'engage sont purement défensives et pour se protéger contre de nouvelles attaques sur Infrastructures iraniennes."
Gilead a suivi la politique de l'entreprise en matière de discussion sur les questions de cybersécurité et a refusé de commenter. La société a reçu beaucoup d'attention récemment, car elle est le fabricant du remdesivir, un médicament antiviral, qui est actuellement le seul traitement prouvé pour aider les patients infectés par le COVID-19. Gilead est également l'une des sociétés à la tête de la recherche et du développement d'un traitement contre cette maladie mortelle, ce qui en fait une cible de choix pour les efforts de collecte de renseignements.
