Connect with us

Technologie

Le NCSC expose une campagne de spear-phishing iranienne et russe ciblant les | britanniques Computer Weekly

Published

on


Des groupes hostiles à menaces persistantes avancées (APT) alignés sur les intérêts nationaux de l’Iran et de la Russie ciblent des ressortissants britanniques, notamment des universitaires, des militants, des travailleurs d’organisations caritatives et d’ONG, des responsables de la défense et du gouvernement, des journalistes et des politiciens, avec des courriels de spear-phishing soigneusement conçus et hautement ciblés, selon de nouveaux renseignements du Centre national de cybersécurité (NCSC) du Royaume-Uni.

Les campagnes distinctes mais techniquement similaires sont attribuées avec une confiance relative à l’Iran TA453, qui porte également le nom de Charming Kitten, et au Seaborgium russe, qui passe également par Cold River et a récemment été lié à une attaque contre l’ancien chef du MI6 Richard Dearlove et un groupe de défenseurs du Brexit dur, et à un incident visant des scientifiques nucléaires américains.

Le schéma actuel de cyberactivité est soupçonné, bien que non confirmé par le NCSC, d’être lié à la collecte de renseignements à l’appui des objectifs des supposés payeurs gouvernementaux des APT à Téhéran et à Moscou.

Il est relativement petit et ne constitue pas une menace immédiate pour la majorité du public britannique dans le grand ordre des choses, selon le directeur des opérations du NCSC, Paul Chichester, qui a déclaré que c’était plus la sophistication des attaques, plutôt que le volume, qui était une inquiétude.

« Le Royaume-Uni s’est engagé à exposer les cyberactivités malveillantes aux côtés de nos partenaires de l’industrie, et cet avis sensibilise à la menace persistante posée par les attaques de spear-phishing », a-t-il déclaré.

« Ces campagnes menées par des acteurs malveillants basés en Russie et en Iran continuent de poursuivre impitoyablement leurs cibles dans le but de voler des informations d’identification en ligne et de compromettre des systèmes potentiellement sensibles.

« Nous encourageons fortement les organisations et les individus à rester vigilants quant aux approches potentielles et à suivre les conseils d’atténuation de l’avis pour se protéger en ligne. »

Le NCSC publie aujourd’hui un nouvel avis adressé directement aux victimes potentielles – ce qu’il ne fait généralement que lorsqu’il est relativement certain qu’il existe un besoin urgent de mener des activités de sensibilisation auprès d’organisations ou d’individus vulnérables, de sorte que ses conclusions méritent d’être notées.

Les deux campagnes de spear-phishing observées déploient toutes deux des éléments relativement similaires de cyber-artisanat, en particulier en ce qui concerne les techniques de spear-phishing.

Les contacts semblent généralement bénins et peuvent sembler provenir de contacts légitimes, car les groupes cherchent à gagner la confiance de leurs victimes visées. Les leurres observés comprenaient de fausses invitations à des conférences ou à des événements.

Des approches sont faites via le courrier électronique, les médias sociaux et les réseaux professionnels, mais notamment dans ce cas, TA453 et Seaborgium ont été vus ciblant les comptes de messagerie personnels de leurs victimes, par opposition aux comptes professionnels officiels.

Le NCSC estime que cette tactique peut présenter une voie plus facile pour les attaquants, profitant du fait que les gens sont plus enclins à faire confiance aux personnes à qui ils ont donné leur adresse e-mail personnelle, ou sont moins sur leurs gardes lorsqu’ils utilisent des services personnels. Cela peut également les aider à contourner les contrôles de sécurité des e-mails qui peuvent être en place sur les réseaux organisationnels.

La correspondance par courriel peut également sembler faire partie d’un fil de discussion continu et, dans certains cas, ces groupes ont même été observés en train d’adopter plusieurs personnages pour créer des fils de discussion convaincants, ce qui aide à établir un rapport et présente un récit auquel la victime peut être plus encline à répondre.

Partage de contenu malveillant

En fin de compte, l’objectif des campagnes est de partager des documents malveillants ou des liens vers des sites Web de phishing qui peuvent conduire au vol et à la compromission d’informations d’identification en aval. Dans les campagnes observées, bon nombre de ces liens étaient déguisés en URL de réunion Zoom.

Le NCSC a souligné que, bien que les deux campagnes partagent de nombreuses similitudes, il n’a trouvé aucune preuve qu’elles soient liées, ou que TA453 et Seaborgium aient collaboré.

Le NCSC conseille aux personnes travaillant dans des industries ciblées d’être particulièrement vigilantes et d’adopter un ensemble de principes de base en matière de cybersécurité qui peuvent réduire considérablement leurs risques d’être compromis.

Il s’agit notamment d’utiliser des mots de passe forts et distincts dans tous les comptes de messagerie, d’activer l’authentification multifacteur dans la mesure du possible, de maintenir les appareils et les réseaux corrigés et à jour, d’activer les fonctionnalités d’analyse automatisée des e-mails des fournisseurs et de désactiver le transfert de courrier. De plus, comme toujours, il est important de maintenir un degré sain de scepticisme lors de l’ouverture de courriels inattendus, même s’ils semblent provenir d’un contact étroit.

Le Centre pour la protection des infrastructures nationaleso maintient une application, Think Before You Link, qui peut aider les individus à identifier les profils en ligne malveillants et à réduire le risque d’être ciblés.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance