Si vous êtes un membre de l’armée américaine qui a reçu des messages Facebook amicaux de recruteurs du secteur privé pendant des mois, suggérant un avenir lucratif dans l’industrie de l’aérospatiale ou de la défense, Facebook pourrait avoir de mauvaises nouvelles.
Jeudi, le géant des médias sociaux a révélé qu’il suivait et au moins partiellement perturbé une campagne de piratage iranienne de longue date qui utilisait des comptes Facebook pour se faire passer pour des recruteurs, ébranlant des cibles américaines avec des schémas d’ingénierie sociale convaincants avant de leur envoyer des fichiers infectés par des logiciels malveillants ou de tromper à soumettre des informations d’identification sensibles aux sites de phishing. Facebook dit que les pirates ont également prétendu travailler dans l’industrie hôtelière ou médicale, dans le journalisme, ou dans des ONG ou des compagnies aériennes, engageant parfois leurs cibles pendant des mois avec des profils sur plusieurs plateformes de médias sociaux différentes. Et contrairement à certains cas précédents de pêche au chat sur les réseaux sociaux parrainés par l’État iranien qui se sont concentrés sur les voisins de l’Iran, cette dernière campagne semble avoir largement ciblé les Américains et, dans une moindre mesure, les victimes britanniques et européennes.
Facebook a déclaré avoir supprimé “moins de 200” profils faux de ses plateformes à la suite de l’enquête et informé à peu près le même nombre d’utilisateurs de Facebook que des pirates les avaient ciblés. “Notre enquête a révélé que Facebook faisait partie d’une opération d’espionnage beaucoup plus large qui ciblait des personnes avec du phishing, de l’ingénierie sociale, des sites Web frauduleux et des domaines malveillants sur plusieurs plates-formes de médias sociaux, sites de messagerie et de collaboration”, David Agranovich, directeur de Facebook pour la perturbation des menaces a déclaré jeudi dans un appel avec la presse.
Facebook a identifié les pirates derrière la campagne d’ingénierie sociale comme étant le groupe connu sous le nom de « Tortueshell », censé travailler pour le compte du gouvernement iranien. Le groupe, qui a des liens lâches et des similitudes avec d’autres groupes iraniens plus connus connus sous les noms d’APT34 ou Helix Kitten et APT35 ou Charming Kitten, a été révélé pour la première fois en 2019. À ce moment-là, la société de sécurité Symantec a repéré les pirates en Arabie saoudite. Des fournisseurs informatiques arabes dans une apparente attaque de la chaîne d’approvisionnement conçue pour infecter les clients de l’entreprise avec un logiciel malveillant appelé Syskit. Facebook a repéré le même malware utilisé dans cette dernière campagne de piratage, mais avec un ensemble beaucoup plus large de techniques d’infection et avec des cibles aux États-Unis et dans d’autres pays occidentaux au lieu du Moyen-Orient.
Écaille de tortue semble également avoir opté dès le départ pour l’ingénierie sociale plutôt que pour une attaque de la chaîne d’approvisionnement, commençant sa pêche au chat sur les réseaux sociaux dès 2018, selon la société de sécurité Mandiant. Cela inclut bien plus que Facebook, déclare John Hultquist, vice-président du renseignement sur les menaces de Mandiant. “Depuis certaines des toutes premières opérations, ils compensent les approches techniques vraiment simplistes avec des schémas de médias sociaux vraiment complexes, ce qui est un domaine dans lequel l’Iran est vraiment habile”, a déclaré Hultquist.
En 2019, la division de sécurité Talos de Cisco a repéré Tortoiseshell qui gérait un faux site pour vétérans appelé Hire Military Heroes, conçu pour inciter les victimes à installer une application de bureau sur leur PC contenant des logiciels malveillants. Craig Williams, directeur du groupe de renseignement de Talos, a déclaré que ce faux site et la campagne plus large que Facebook a identifiée montrent tous deux comment le personnel militaire essayant de trouver des emplois dans le secteur privé constitue une cible idéale pour les espions. « Le problème que nous avons, c’est que les anciens combattants qui font la transition vers le monde commercial constituent une énorme industrie », explique Williams. “Les méchants peuvent trouver des gens qui feront des erreurs, qui cliqueront sur des choses qu’ils ne devraient pas, qui sont attirés par certaines propositions.”
Facebook prévient que le groupe a également usurpé un site du département américain du Travail ; la société a fourni une liste des faux domaines du groupe qui ont usurpé l’identité de sites de médias d’information, de versions de YouTube et de LiveLeak, ainsi que de nombreuses variantes des URL liées à la famille Trump et à l’organisation Trump.
.
