Les experts en cybersécurité de Proofpoint ont publié une enquête sur le groupe de piratage dirigé par l'Iran TA453, également connu sous le nom de Charming Kitten, PHOSPHORUS et APT42.
Le groupe a récemment commencé à cibler des personnes spécialisées dans les questions liées au Moyen-Orient, la sécurité nucléaire et la recherche génétique. Chacune de leurs attaques par e-mail les plus récemment observées utilisait plusieurs fausses identités. Pour ce faire, TA453 a utilisé les identités de personnes réelles travaillant dans des institutions occidentales de recherche sur la politique étrangère. Les attaques utilisent également de nouvelles tactiques d'ingénierie sociale pour récolter des renseignements au nom du Corps des gardiens de la révolution islamique d'Iran.
Principaux résultats de l'enquête
Les campagnes de TA453 ont vu le groupe utiliser plusieurs identités dans ses attaques de harponnage pour exploiter le principe psychologique de la preuve sociale. Cela devrait notamment accroître l'authenticité supposée de la correspondance.
Les identités compromises par TA453 incluent de vraies personnes travaillant au PEW Research Center, au Foreign Policy Research Institute (FRPI), à Chatham House au Royaume-Uni et à la revue scientifique Nature. Cette tactique a été utilisée pour attaquer des personnes disposant d'informations concernant l'État d'Israël, les États du Golfe, la déclaration des accords d'Abraham et le contrôle des armes nucléaires en rapport avec un éventuel conflit entre les États-Unis et la Russie. Les experts en sécurité de Proofpoint pensent que TA453 opère en soutien aux campagnes de cyberespionnage du Corps des gardiens de la révolution islamique (CGRI) visant à voler des données et des informations sensibles.
Commentaire de Proofpoint
"Les groupes de piratage parrainés par le gouvernement sont parmi les meilleurs pour créer des campagnes d'ingénierie sociale bien conçues pour attirer les victimes dans des pièges. Dans ce cas, nos spécialistes ont découvert que le groupe affilié à l'Iran TA453 a étendu ses activités en utilisant plusieurs fausses identités à la fois - le groupe utilise la preuve sociale pour convaincre la cible de l'authenticité de la demande. Il s'agit d'une technique intrigante car elle nécessite des ressources plus importantes par cible - potentiellement "graver" plusieurs identités - et une approche coordonnée entre les différentes identités déployées par TA453. »
« Les chercheurs travaillant dans le domaine des relations internationales, en particulier ceux qui se spécialisent dans les études sur le Moyen-Orient ou la sûreté nucléaire, devraient faire preuve d'une vigilance accrue lorsqu'ils reçoivent des courriels non sollicités. Par exemple, les professionnels contactés par les journalistes devraient consulter le site Web de la publication pour déterminer si l'adresse e-mail appartient à un véritable journaliste », a déclaré Sherrod DeGrippo, vice-président de la recherche et de la détection des menaces chez Proofpoint.
Plus sur ProofPoint.com
À propos de Propoint Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité. Proofpoint se concentre sur la protection des employés. Parce que ceux-ci signifient le plus grand capital pour une entreprise, mais aussi le plus grand risque. Avec une suite intégrée de solutions de cybersécurité basées sur le cloud, Proofpoint aide les organisations du monde entier à stopper les menaces ciblées, à protéger leurs données et à informer les utilisateurs informatiques des entreprises sur les risques de cyberattaques.