Un groupe de pirates informatiques soutenu par l’État iranien très ingénieux utilise des liens malveillants vers des applications VPN envoyées par SMS pour injecter des logiciels espions, rapporte une entreprise de cybersécurité.
Mandiant a trouvé des preuves qu’APT42 (menace persistante avancée) mène de telles attaques contre ce qu’ils ont décrit comme « les ennemis de l’État iranien » depuis 2015, dans le but de récolter des données sensibles et d’espionner les victimes.
Ils affirment également avec une « confiance modérée » que le groupe est aligné sur le renseignement du Corps des gardiens de la révolution islamique (IRGC-IO), que Washington désigne comme une organisation terroriste.
Cependant, ce malware ne se propage pas seulement caché derrière la réputation de certains des meilleurs services VPN. Des e-mails de phishing bien conçus, des pages Web malveillantes vers des applications de messagerie gratuites et des sites réservés aux adultes ont également été utilisés.
Les logiciels malveillants mobiles posent des risques inquiétants dans le monde réel
Comme le rapporte Mandiant (s’ouvre dans un nouvel onglet): « L’utilisation de logiciels malveillants Android pour cibler des personnes présentant un intérêt pour le gouvernement iranien fournit à APT42 une méthode productive pour obtenir des informations sensibles sur des cibles, notamment des mouvements, des contacts et des informations personnelles.
« La capacité éprouvée du groupe à enregistrer des appels téléphoniques, activer le microphone et enregistrer l’audio, exfiltrer des images et prendre des photos sur commande, lire des messages SMS et suivre la position GPS de la victime en temps réel représente un risque réel pour les victimes individuelles de cette campagne. »
Les chercheurs ont observé jusqu’à présent plus de 30 opérations confirmées dans 14 pays du monde, couvrant ses sept années d’activité. Cependant, ils pensent que le nombre total est beaucoup plus élevé que cela.
Des groupes de réflexion occidentaux, des chercheurs, des journalistes, des responsables gouvernementaux occidentaux actuels, d’anciens responsables du gouvernement iranien, des dissidents et la diaspora iranienne à l’étranger ont tous été parmi les victimes de ces attaques.
Mandiant publie aujourd’hui des détails sur l’acteur iranien APT42. Ils mènent une campagne contre les ennemis de l’État iranien. Nous pensons qu’ils sont liés au CGRI. Ceci est entièrement distinct des manigances albanaises. 1/x https://t.co/d4gyQQc88e7 septembre 2022
Collecte de données et opérations de surveillance
Les campagnes d’APT42 ont deux objectifs principaux : collecter les données sensibles des cibles comme les identifiants de messagerie personnels, les codes d’authentification multifacteur et les enregistrements de communication privés, tout en suivant les données de localisation des victimes pour effectuer des opérations majeures opérations de surveillance.
Le livre de jeu rusé du groupe gagne la confiance des cibles, engageant une conversation qui peut même durer plusieurs semaines avant d’envoyer finalement l’e-mail de phishing. Dans un cas, des pirates ont fait semblant d’être des journalistes travaillant pour un célèbre média américain pendant 37 jours avant de lancer l’attaque.
Dans le cas des logiciels malveillants mobiles, APT42 a ciblé avec succès les internautes qui recherchaient des outils de contournement pour contourner les strictes restrictions gouvernementales. Et, étant donné que plus de 80 % des Iraniens utilisent de tels logiciels pour échapper à la censure en ligne, la sécurité des citoyens ne semble jamais avoir été autant en jeu.
Le rapport Mandiant a en outre souligné comment le groupe – qui serait également lié au tristement célèbre APT35 qui a réussi l’année dernière à infiltrer le Play Store avec de fausses applications VPN – a su façonner rapidement ses stratégies et ses objectifs pour s’aligner sur les intérêts nationaux et géopolitiques de l’Iran. .
« Nous évaluons avec une grande confiance qu’APT42 continuera à effectuer des opérations de cyberespionnage et de surveillance alignées sur l’évolution des exigences opérationnelles iraniennes en matière de collecte de renseignements. »