Israël Révèle de Nouvelles Méthodes Iraniennes d'Espionnage des Hauts Fonctionnaires

L'Agence israélienne de cybersécurité a révélé une campagne d'espionnage cybernétique iranienne « sans précédent », nommée « Spear Spectre », qui serait liée à l'appareil de renseignement du Corps des Gardiens de la Révolution Islamique (CGRI) iranien.

1. Changement de Méthodologie d'Attaque

• Auteurs : La campagne est menée par un groupe connu sous les noms de « APT 42 » et « Charming Cypress ».

• Évolution Qualitative : Cette campagne représente une « nette transition des attaques aléatoires vers des opérations d'espionnage précises ciblant des individus spécifiques ».

• Objectif de l'Espionnage : L'objectif n'est plus seulement de voler des mots de passe, mais d'obtenir le « contrôle continu d'appareils spécifiques », selon le chef de l'unité cyber de l'Agence.

• Cibles Principales : Des personnalités de haut rang dans les secteurs de la sécurité, de la défense et du gouvernement israélien, ainsi que des membres de leurs familles.

2. Tactiques de « Construire la Confiance puis Pirater »

• Établissement de Relations : Les attaquants passent des jours ou des semaines à établir des relations d'apparence professionnelle ou personnelle avec les cibles pour gagner leur confiance.

• Leurres : Les tactiques incluent l'envoi d'invitations à de prétendues conférences ou des demandes de réunions de haut niveau.

• Plateforme de Communication : L'application « WhatsApp » est utilisée comme plateforme de communication initiale, exploitant son caractère informel et familier.

• Phases de l'Attaque : L'attaque commence par la collecte d'informations sur la cible, puis l'usurpation d'identité d'une entité de confiance et la communication via WhatsApp avant d'envoyer le lien malveillant.

3. Outils de Piratage Avancés

• Cibles Moins Sensibles : Des pages de réunion contrefaites sont utilisées pour voler directement des mots de passe.

• Cibles de Haut Niveau : Les attaquants cherchent à implanter des logiciels malveillants avancés difficiles à détecter.

• Dissimulation du Trafic : La campagne s'appuie sur une structure de Commandement et de Contrôle (C2) distribuée via des plateformes légitimes comme « Telegram » et « Discord » pour masquer le trafic de données malveillantes au milieu de l'utilisation normale de ces applications.