L’attaque silencieuse… Israël évoque un espionnage iranien sans précédent 

Une nouvelle campagne cyber iranienne viserait, selon Israël, des responsables à travers une ingénierie sociale approfondie.

C’est ce qu’a révélé l’Agence nationale du numérique en Israël, évoquant une campagne d’espionnage électronique iranienne sophistiquée et sans précédent, portant le nom de code « SpearSpecter » et attribuée à un groupe lié au renseignement des Gardiens de la Révolution, selon ce qu’a rapporté Yedioth Ahronoth.

Les objectifs et les méthodes des attaques

Ce groupe — également connu sous les noms APT42 et CharmingCypress — opère désormais selon de nouvelles méthodes et tactiques, s’éloignant des attaques massives et aléatoires pour adopter un espionnage ciblé fondé sur une ingénierie sociale avancée.

Lors d’un briefing avec le chercheur en cybersécurité Shimi Cohen et Nir Bar Yosef, chef de l’unité cyber de l’agence, les responsables ont révélé que la campagne cible de manière systématique des personnalités de grande importance dans les secteurs de la défense et du gouvernement en Israël, ainsi que des membres de leurs familles.

Bar Yosef a déclaré : « Cette campagne représente une évolution majeure. Les cyberattaques deviennent plus personnalisées et nécessitent davantage de moyens. Il ne s’agit plus simplement de voler des mots de passe, mais d’obtenir un accès prolongé et durable à des cibles précises. »

Selon l’agence, les attaquants passent des jours, voire des semaines, à bâtir ce qui semble être des relations personnelles ou professionnelles légitimes avec leurs cibles.

Les méthodes d’approche courantes incluent des invitations à des “conférences prestigieuses” ou la planification de “réunions de haut niveau”.

Au moment de la rédaction, l’Iran n’a ni confirmé ni démenti les déclarations de l’agence israélienne.

WhatsApp… un outil pour instaurer la confiance et pénétrer les systèmes

Parmi les outils principaux utilisés figure l’application WhatsApp, servant d’entrée en matière familière pour instaurer la confiance.

À ce sujet, l’expert en sécurité a expliqué que « la campagne commence par collecter des informations préliminaires, puis les attaquants usurpent l’identité d’une personne réelle et contactent la cible généralement via WhatsApp ».

Une fois la confiance établie, un lien malveillant est envoyé pour déclencher une chaîne d’attaque complexe. Pour les cibles de moindre importance, des pages de réunions factices, créées à l’avance, sont utilisées pour capturer instantanément les identifiants.

Pour les cibles à haute valeur, l’objectif est d’implanter une porte dérobée avancée, nommée “TAMECAT” par Google, reposant sur PowerShell, ce qui rend sa détection bien plus difficile pour les outils de sécurité classiques.

Exploitation des fonctionnalités de Windows et du protocole WebDAV
Les attaquants exploitent également des fonctionnalités intégrées à Windows et au protocole WebDAV (utilisé pour l’édition de documents via navigateur) lors de la phase de préparation de la charge malveillante.

Pour éviter la détection, ils utilisent une architecture de commande et de contrôle multicanaux reposant sur des plateformes légitimes telles que Telegram et Discord, rendant le trafic paraître normal.

Bar Yosef a expliqué : « L’innovation réside ici dans la dissimulation du flux de données. Ils utilisent des services légitimes comme Telegram et Discord comme serveurs de contrôle, ce qui rend la détection de fuites d’informations extrêmement difficile. »

Il a ajouté : « Dans le paysage actuel des menaces, la règle numéro un est : vérifier, puis revérifier, puis vérifier encore une fois. »