Des espions iraniens se piègent en diffusant des vidéos d’eux-même en plein piratage informatique

Atlantico : Une task-force d’IBM, la X-Force security a obtenu cinq heures de vidéos dans lesquelles on peut voir des hackeurs iraniens en plein piratage de boîtes Gmail. Que cela nous apprend-t-il sur leur méthodes ? 

Didier Hardoin : Les hackeurs iraniens connus également sous le nom d’APT 35, sont une agence étatique sponsorisé par le gouvernement Iranien.

Dans les découvertes des vidéos faites par IBM, on peut voir une démonstration de l’exfiltration de données (comptes Google et Yahoo).

On parle d’exfiltration de données car en ayant accès à un compte Google, on a accès à tout l’univers de services attaché à cette dernière: Drive, Mail, Google docs… L’attaquant va donc s’intéresser à extraire le plus de données liés au compte compromis.

Premièrement, l’attaquant va siphonner (copie) toute la boîte mail de la victime vers sa machine et l’ajouter à un agrégateur de courrier (pour continuer l’espionage), au même temps il s’occupe de supprimer les alertes que Google ou Yahoo peuvent envoyer à l’utilisateur (il est important de prendre en compte que l’attaquant a pris contrôle total du compte), pour ensuite télécharger les photos et contacts de l’utilisateur.

Le processus dure environ de 3 minutes à 4 minutes, et peut augmenter selon la taille de la boîte. Il se sert également de Google takeout (takeout.google.com) qui permet d’exporter le contenu du compte google (localisation, appareils associés, etc). Ce processus n’est pas un attaque très sophistiquée, mais plutôt une série de multiples actions répétitives simples pour une ‘grande’ opération de phishing.

La méthodologie utilisé n’est pas très complexe, mais la masse d’informations obtenues paie, l’attaquant peut donc avoir des renseignements plus précis sur les victimes : photos, documents (impôts, factures, copies des cartes d’identité, bulletins de salaire, etc. La question serait pourquoi faire ? Des faux profils, vol d’identité, accès aux contacts de la victime, faire pression sur elle…

Michel Juvin : En résumé, les enseignements de ce piratage de boîte mail nous apprennent que :
– Les hackers Iraniens possèdent des solutions et scénarios d’attaque puissants et ils les maîtrisent très bien
– La vitesse (j’ajouterai la facilité) avec laquelle le hacker prend le contrôle de la boîte mail est impressionnante et donc inquiétante
– Enfin, heureusement que depuis plusieurs années, les systèmes de messagerie (dont Gmail qui a été le premier à proposer à tous ces utilisateurs y compris pour le grand public), proposent la double authentification et donc évitent ce genre de problème.

De plus, pour les comptes à privilèges en reprenant la notion de Proofpoint (les VAP : Les Very Attacked People) la double authentification est proposée/imposée par tous mes collègues en entreprise.

De plus, on comprend (bien que n’ayant pas vu les vidéos), qu’il s’agit de forces étatiques qui effectuent ces attaques ; c’est une autre confirmation que nous sommes bien en cyber-guerre et que dans cette première phase, comme pour toutes les guerres, le renseignement est primordial et même, la composante la plus importante de la cyber-guerre. C’est encore une fois, l’information qu’il faut à protéger aujourd’hui et c’est l’un des objectifs de notre communauté de diminuer les risques de vol/fuite d’information.

Que cherchent à faire ces hackeurs iraniens en piratant des comptes Gmail ? 

Didier Hardoin : Deux objectifs dans ces vidéos. L’un est purement une démonstration de pouvoir: comment obtenir (siphonner) rapidement des informations des cibles. Le deuxième : ces vidéos étaient clairement faites en tant que tutoriel pour les nouveaux hackers dans ce groupe, pour les entraîner. L’usage donnée ensuite à ces comptes piratés varie entre l’utilisation pour le phishing, ou de continuer à espionner la boîte mail. Bien évidemment sur les principaux cibles de ces vidéos, et la plupart du temps, ce sont très probablement des opérations d’espionnage.

Michel Juvin : Comme on le sait trop, le système de messagerie en entreprise comme dans le privé, contient malheureusement beaucoup d’informations qui sont confidentielles (documents confidentiels, secrets de fabrication, extrait de formule, contrat avec des partenaires ou sous-traitants, solutions de gestion des données, informations stratégiques, …parfois même des droits d’accès !!) car les utilisateurs apprécient la facilité d’utilisation du mail.

Malgré les recommandations de toute la communauté des Experts en Cybersécurité, dont mes pairs du CESIN, on rappelle régulièrement les consignes de sécurité et les alternatives pour stocker ou partager des informations sensibles. Progressivement, d’ailleurs, les utilisateurs adoptent ces solutions de sécurité car on a tous conscience que la sécurité (confidentialité et intégrité) des données est une nécessité désormais.

Face à une telle menace, comment pouvons-nous prévenir de ces attaques ?

Didier Hardoin : L’importance de la culture cyber, et de la cyber vigilance implique de nous rappeller de certaines règles élémentaires: https://www.ssi.gouv.fr/particulier/precautions-elementaires/dix-regles-de-base/

Lire la suite dans https://www.atlantico.fr/decryptage/3591205/des-espions-iraniens-se-piegent-en-diffusant-des-videos-d-eux-meme-en-plein-piratage-informatique-didier-hardoin-michel-juvin

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.