Le Centre national de la cyberdéfense d’Israël (INCD) a récemment identifié de plus en plus de tentatives désespérées de l’Iran pour recruter des Israéliens et infiltrer des organisations. Des offres d’emploi tentantes et personnalisées de Rafael atterrissant sur LinkedIn avec des liens suspects, des e-mails de l’INCD incitant au téléchargement d’une mise à jour de sécurité, des offres pour recevoir une somme d’argent importante en remplissant des détails personnels dans un lien, et des invitations à des chercheurs pour des conférences académiques avec des liens nuisibles à l’ordinateur – ces tentatives et d’autres par des groupes de hackers iraniens ont récemment été identifiées par le Centre national de la cyberdéfense ciblant les Israéliens et les organisations, indiquant une tendance.
« Les tentatives iraniennes sont devenues plus sophistiquées, plus ciblées et vraiment adaptées aux intérêts de la cible », déclare Tom Alexandrovich, responsable de la Division de défense technologique à l’INCD. « Les messages de phishing sont basés sur la collecte d’informations et des recherches approfondies et incluent un fichier malveillant ou un lien pour saisir des détails personnels. Cependant, avec un peu de vigilance, il est toujours possible d’identifier les signes. »
Depuis le début du conflit, il y a eu une forte augmentation des campagnes de phishing ciblant des entités en Israël. Selon les données de l’INCD, au moins 15 campagnes différentes provenant de divers groupes d’attaques iraniens connus sous des surnoms tels que « Black Shadow » et « Muddy Water » ont été identifiées. Chaque campagne envoie des milliers d’e-mails ciblés à différents types d’entreprises et d’organisations des secteurs privé et public. L’augmentation indique que les Iraniens cherchent à s’implanter dans les organisations, et les messages de phishing sont une méthode courante pour lancer une cyberattaque si la cible ouvre effectivement la porte à l’attaquant. Après l’infection initiale, les attaquants s’efforcent d’atteindre les profondeurs de l’organisation et d’entités similaires en utilisant les informations et les outils volés ou implantés lors de l’infection initiale.
Derrière les messages identifiés ces derniers mois se trouvent des groupes de hackers travaillant pour le régime iranien, certains étant même exploités sur une base de « sous-traitance » par le biais d’entreprises privées à Téhéran. Les groupes opèrent dans le but de causer des dommages, de l’espionnage, de la collecte d’informations et de l’influence.
Par exemple, ces derniers mois, des universitaires et des chercheurs en études du Moyen-Orient ont reçu des messages en apparence routiniers de chercheurs à l’étranger posant des questions sur l’arène iranienne. Les messages, qui semblaient crédibles et se concentraient sur les domaines d’intérêt du chercheur, les invitaient à des réunions et des conférences Zoom, joignant même une liste de participants légitimes pour accroître la crédibilité. Après que les tentatives aient été exposées, une enquête sur les messages a révélé que le lien Zoom envoyé aux chercheurs contenait en réalité un logiciel malveillant.
Un autre exemple intéressant récemment identifié est les approches ciblées sur LinkedIn qui semblaient provenir de recruteurs chez « Rafael » avec un lien pour soumettre un CV. Le lien menait au téléchargement d’un fichier et à une demande de remplir un mot de passe. Le fichier était ensuite activé et téléchargeait deux autres fichiers qui accordaient à l’attaquant l’accès au poste de travail et au réseau organisationnel.
« Le contenu des messages est souvent adapté en fonction des informations recueillies auprès de diverses sources sur le réseau, créant un profil de l’organisation et de ses employés. La formulation en hébreu s’améliore, et aujourd’hui il est possible d’envoyer les messages depuis une boîte e-mail réelle d’organisations légitimes, d’un des employés, ou de se faire passer pour l’un des fournisseurs de services dans la chaîne d’approvisionnement », explique Alexandrovich.
Le Centre entreprend diverses actions pour traiter le problème, notamment le blocage des liens, l’orientation des entités à haut risque, l’arrêt de la chaîne d’infection, l’émission d’avertissements et le partage d’informations sur l’attaque.
