
Si vous êtes un membre de l’armée américaine devenu amical Facebook messages de recruteurs du secteur privé pendant des mois, suggérant un avenir lucratif dans l’industrie de l’aérospatiale ou de la défense, Facebook peut avoir de mauvaises nouvelles.
Jeudi, le géant des médias sociaux a révélé qu’il avait suivi et au moins partiellement perturbé une longue iranien campagne de piratage informatique qui utilisait des comptes Facebook pour se faire passer pour des recruteurs, attirant des cibles américaines avec des plans d’ingénierie sociale convaincants avant de leur envoyer des fichiers infectés par des logiciels malveillants ou de les inciter à soumettre des informations d’identification sensibles à des sites de phishing. Facebook dit que les pirates ont également prétendu travailler dans l’industrie hôtelière ou médicale, dans le journalisme, ou dans des ONG ou des compagnies aériennes, engageant parfois leurs cibles pendant des mois avec des profils sur plusieurs plateformes de médias sociaux différentes. Et contrairement à certains cas précédents de pêche au chat sur les réseaux sociaux parrainés par l’État iranien qui se sont concentrés sur les voisins de l’Iran, cette dernière campagne semble avoir largement ciblé les Américains et, dans une moindre mesure, les victimes britanniques et européennes.

Facebook affirme avoir supprimé “moins de 200” faux profils de ses plateformes à la suite de l’enquête et notifié à peu près le même nombre d’utilisateurs de Facebook que des pirates les avaient ciblés.
“Notre enquête a révélé que Facebook faisait partie d’une opération d’espionnage beaucoup plus large qui ciblait des personnes avec du phishing, de l’ingénierie sociale, des sites Web falsifiés et des domaines malveillants sur plusieurs plates-formes de médias sociaux, des e-mails et des sites de collaboration”, David Agranovich, directeur des menaces de Facebook. perturbation, a déclaré jeudi dans un appel avec la presse.
Facebook a identifié les pirates derrière la campagne d’ingénierie sociale comme étant le groupe connu sous le nom de Tortoiseshell, censé travailler pour le compte du gouvernement iranien. Le groupe, qui a des liens lâches et des similitudes avec d’autres groupes iraniens plus connus connus sous les noms d’APT34 ou Helix Kitten et APT35 ou Charming Kitten, est apparu pour la première fois en 2019. À cette époque, la société de sécurité Symantec repéré les pirates violer les fournisseurs informatiques saoudiens dans une attaque apparente de la chaîne d’approvisionnement conçue pour infecter les clients de l’entreprise avec un logiciel malveillant connu sous le nom de Syskit. Facebook a repéré le même malware utilisé dans cette dernière campagne de piratage, mais avec un ensemble beaucoup plus large de techniques d’infection et avec des cibles aux États-Unis et dans d’autres pays occidentaux au lieu du Moyen-Orient.
Écaille de tortue semble également avoir opté dès le départ pour l’ingénierie sociale plutôt que pour une attaque de la chaîne d’approvisionnement, commençant sa pêche au chat sur les réseaux sociaux dès 2018, selon la société de sécurité Mandiant. Cela inclut bien plus que Facebook, déclare John Hultquist, vice-président du renseignement sur les menaces de Mandiant. “Depuis certaines des toutes premières opérations, ils compensent les approches techniques vraiment simplistes avec des schémas de médias sociaux vraiment complexes, ce qui est un domaine dans lequel l’Iran est vraiment habile”, a déclaré Hultquist.
En 2019, la division de sécurité Talos de Cisco a repéré l’écaille de tortue gérer un faux site d’anciens combattants appelé Hire Military Heroes, conçu pour inciter les victimes à installer une application de bureau sur leur PC contenant des logiciels malveillants. Craig Williams, directeur du groupe de renseignement de Talos, a déclaré que ce faux site et la campagne plus large que Facebook a identifiée montrent tous deux à quel point le personnel militaire essayant de trouver des emplois dans le secteur privé constitue une cible idéale pour les espions. “Le problème que nous avons, c’est que les anciens combattants qui font la transition vers le monde commercial constituent une énorme industrie”, a déclaré Williams. “Les méchants peuvent trouver des gens qui feront des erreurs, qui cliqueront sur des choses qu’ils ne devraient pas, qui sont attirés par certaines propositions.”
Facebook prévient que le groupe a également usurpé un site du département américain du Travail ; la société a fourni une liste des faux domaines du groupe qui se sont fait passer pour des sites de médias d’information, des versions de YouTube et LiveLeak, ainsi que de nombreuses variantes des URL liées à la famille Trump et à l’organisation Trump.
Facebook dit qu’il a lié les échantillons de logiciels malveillants du groupe à un sous-traitant informatique spécifique basé à Téhéran appelé Mahak Rayan Afraz, qui a déjà fourni des logiciels malveillants au Corps des gardiens de la révolution iraniens, ou CGRI, le premier lien ténu entre le groupe écaille de tortue et un gouvernement. Symantec a noté en 2019 que le groupe avait également utilisé certains outils logiciels également repérés par le groupe de piratage iranien APT34, qui a utilisé des leurres de médias sociaux sur des sites comme Facebook et LinkedIn pendant des années. Hultquist de Mandiant dit qu’il partage à peu près certaines caractéristiques avec le groupe iranien connu sous le nom d’APT35, qui travaillerait au service des pasdarans. L’histoire d’APT35 comprend l’utilisation d’un transfuge américain, l’entrepreneur de défense du renseignement militaire Monica Witt, pour obtenir des informations sur ses anciens collègues qui pourraient être utilisées pour les cibler avec des campagnes d’ingénierie sociale et de phishing.
La menace d’opérations de piratage basées en Iran – et en particulier, la menace de cyberattaques perturbatrices de la part du pays – a peut-être semblé s’atténuer alors que l’administration Biden a fait marche arrière par rapport à l’approche conflictuelle de l’administration Trump. L’assassinat en 2020 du chef militaire iranien Qassem Soleimani a notamment conduit à un hausse des intrusions iraniennes que beaucoup craignaient d’être un précurseur de cyberattaques de représailles qui ne se sont jamais matérialisées. Le président Biden a, en revanche, signalé qu’il espère relancer l’accord de l’ère Obama qui a suspendu les ambitions nucléaires de l’Iran et apaisé les tensions avec le pays – un rapprochement qui a été secoué par les nouvelles selon lesquelles des agents de renseignement iraniens complot pour kidnapper un journaliste irano-américain.
Mais la campagne Facebook montre que l’espionnage iranien continuera de cibler les États-Unis et leurs alliés, même si les relations politiques au sens large s’améliorent. “Les pasdarans mènent clairement leur espionnage aux États-Unis”, déclare Hultquist de Mandiant. “Ils ne préparent toujours rien de bon, et ils doivent être soigneusement surveillés.”
Cette histoire est apparue pour la première fois sur wired.com.