• Les victimes ont été sélectionnées manuellement parmi des organisations opposées au régime et des mouvements de résistance
• Les agresseurs ont utilisé des documents contenant un logiciel malveillant pour piéger les victimes et prendre le contrôle de leur compte Telegram
• Les chercheurs ont découvert une porte dérobée malveillante sur Android, qui se fait passer pour un service destiné à aider des personnes parlant le persan en Suède à obtenir leur permis de conduire, mais qui vole des SMS et déclenche des enregistrements audio sur les appareils

Les chercheurs de Check Point ont décortiqué une opération de surveillance qui est active depuis six ans, menée par des entités iraniennes contre des dissidents politiques. Depuis 2014, les agresseurs ont utilisé plusieurs vecteurs d’attaque pour espionner leurs victimes, notamment le détournement de comptes Telegram, l’extraction de codes d’authentification à deux facteurs des messages SMS, l’enregistrement audio de l’environnement des téléphones, l’accès aux informations de comptes KeePass, et la diffusion de pages de phishing malveillantes sur Telegram à l’aide de faux comptes de support Telegram.

Les victimes semblent avoir été choisies manuellement parmi des organisations opposées au régime et des mouvements de résistance tels que Mujahedin-e Khalq, l’Organisation nationale de résistance d’Azerbaïdjan, et les citoyens du Baloutchistan

Plusieurs vecteurs d’attaques

Documents piégés
Les agresseurs ont utilisé des documents contenant un logiciel malveillant pour infecter les victimes. La fonction principale du logiciel malveillant est de voler autant d’informations que possible sur les appareils ciblés. Deux applications sont principalement visées : Telegram Desktop et KeePass, le célèbre système de stockage de mots de passe. Les principales fonctionnalités du logiciel malveillant sont les suivantes :
• Vol d’informations
o Transfert des fichiers Telegram pertinents depuis l’ordinateur de la victime. Ces fichiers permettent aux agresseurs d’utiliser pleinement le compte
Telegram de la victime
o Vol des informations contenues dans l’application KeePass
o Transfert de tout fichier se terminant par des extensions prédéfinies
o Enregistrement des données du presse-papiers et prise de captures d’écran du bureau
• Persistance unique
o Mise en place d’un mécanisme de persistance s’appuyant sur la procédure de mise à jour interne de Telegram

Porte dérobée Android
Au cours de leur enquête, les chercheurs de Check Point ont découvert une application Android malveillante associée aux mêmes pirates. Elle se présente sous la forme d’un service destiné à aider des personnes parlant le persan en Suède à obtenir leur permis de conduire. Cette porte dérobée Android présente les fonctionnalités suivantes :
• Vol de SMS existants
_• Transfert des SMS d’authentification à deux facteurs vers un numéro de téléphone fourni par le serveur de commande et de contrôle des pirates
• Récupération d’informations personnelles telles que les coordonnées et les détails de comptes
• Enregistrement audio de l’environnement du téléphone
• Phishing ciblant les comptes Google
• Récupération d’informations sur les appareils, telles que les applications installées et les processus en cours d’exécution

Phishing sur Telegram

Certains des sites web liés à l’activité malveillante hébergeaient également des pages de phishing se faisant passer pour Telegram. De manière surprenante, plusieurs chaînes iraniennes sur Telegram ont émis des avertissements contre les sites de phishing, affirmant que le régime iranien en était l’auteur. Selon les chaînes, les messages de phishing ont été envoyés par un robot Telegram. Les messages avertissaient leurs destinataires qu’ils faisaient un usage abusif des services de Telegram, et que leur compte serait bloqué s’ils ne consultaient pas le lien de phishing. Une autre chaîne Telegram a fourni des captures d’écran de la tentative de phishing montrant que les agresseurs ont créé un compte se faisant passer pour le compte officiel de Telegram. Les agresseurs envoyaient initialement un message décrivant une nouvelle mise à jour de Telegram pour paraître légitime. Le message de phishing a été envoyé seulement cinq jours plus tard, pointant vers un domaine malveillant.

Autres vecteurs d’attaque possibles

Un article de blog retiré en 2018 accusait un expert de la cybersécurité de plagiat, lorsqu’il a été interviewé par la chaîne d’information AlArabiya pour discuter des cyberattaques iraniennes. Nous pensons que cette page a été créée dans le cadre d’une attaque ciblée contre cette personne ou ses associés. Le blog comprenait un lien pour télécharger une archive protégée par un mot de passe contenant des preuves du plagiat depuis « endupload[.]com ». Il semble que « endupload[.]com » soit contrôlé par les agresseurs depuis des années, car certains des échantillons malveillants liés à cette attaque et remontant à 2014 communiquaient avec ce site web.

Pour Lotem Finkelsteen, Responsable de l’intelligence sur les menaces chez Check Point Software :
« Après avoir mené notre enquête, plusieurs éléments sont ressortis. Tout d’abord, l’accent est mis de façon assez frappante sur la surveillance de la messagerie instantanée. Bien que le Telegram ne puisse être déchiffré, il est clairement détourné. La surveillance de la messagerie instantanée, en particulier de Telegram, est une chose dont tout le monde devrait être conscient pour redoubler de prudence. Deuxièmement, les attaques de phishing sur les téléphones portables, les PC et le web sont toutes liées à la même campagne. Autrement dit, la campagne est menée à des fins de renseignement pour servir des intérêts nationaux, par opposition à des défis technologiques. Nous continuerons de surveiller les différentes régions du monde afin de mieux informer le public sur la cybersécurité. »