Les chercheurs en cybersécurité de Proofpoint ont publié aujourd’hui de nouveaux renseignements sur les activités du groupe TA453, un acteur de la menace lié à l’état Iranien, et aussi connu sous le nom de « Charming Kitten », « PHOSPHORUS » ou encore « APT42 ».
Tribune – Le groupe a été observé ciblant des individus spécialisés dans l’analyse des affaires publiques et politiques au Moyen-Orient, la sécurité nucléaire et la recherche sur le génome.
Des attaques extrêmement bien ciblées ont été perpétrées à l’aide d’emails malveillants utilisant plusieurs faux personnages. Les auteurs, se faisant passer pour des chercheurs en politique étrangère appartenant à de réels instituts à l’Ouest, ont su tirer parti de nouvelles tactiques d’ingénierie sociale pour obtenir des renseignements confidentiels destinés au Corps des Gardiens de la Révolution Islamique d’Iran.
- TA453 a été observé en train de créer et d’utiliser plusieurs personnalités dans chaque attaque de spear-phishing, tirant parti du principe psychologique de preuve sociale (lorsque l’on ne sait pas comment faire ou comment agir dans une situation, on aura tendance à reproduire le comportement des gens autour de nous) pour s’attaquer à ses cibles et augmenter l’authenticité de ses échanges.
- Les personnages parodiés par TA453 incluent de vrais individus du PEW Research Center, du Foreign Policy Research Institute (FRPI), de Chatham House au Royaume-Uni ou encore de la revue scientifique Nature, pour cibler des individus ayant des informations sur Israël et les États du Golfe, les accords d’Abraham et le contrôle des armes nucléaires en relation avec un affrontement potentiel entre les États-Unis et la Russie.
- Proofpoint estime que TA453 opère en soutien du Corps des Gardiens de la Révolution Islamique (CGRI), ces campagnes de cyber-espionnage visant à voler des données et des renseignements sensibles.
Sherrod DeGrippo, vice-présidente de la recherche et de la détection des menaces chez Proofpoint, a commenté :
« Les acteurs de la menace alignés sur l’État sont parmi les meilleurs pour élaborer des campagnes d’ingénierie sociale bien pensées et atteindre leurs victimes désignées. Dans ce cas, nos chercheurs ont vu l’acteur TA453, aligné sur l’Iran, intensifier son jeu en utilisant l’usurpation d’identité multi-persona, capitalisant sur la preuve sociale, et ce afin que leur cible tombe dans le panneau. » Pour Sherrod, « il s’agit vraiment d’une technique insolite car elle nécessite beaucoup plus de ressources spécifiques à chaque cible – quel ‘personnage’ crédible choisir sans se brûler des cartes – et cela demande aussi une approche coordonnée entre les différentes personnalités utilisées par TA453. » DeGrippo recommande donc que « les chercheurs impliqués dans la sécurité internationale, en particulier ceux qui se spécialisent dans les études sur le Moyen-Orient ou la sécurité nucléaire, devraient maintenir un sentiment accru de sensibilisation lorsqu’ils reçoivent des courriels non sollicités. Par exemple, les experts qui sont approchés par des journalistes devraient vérifier le site Web de la publication pour voir si l’adresse e-mail appartient à un journaliste légitime. »