Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Threat Intelligence : Découvrir une opération de contre-espionnage iranienne

août 2024 par Mandiant

Mandiant publie a i les détails d’une opération de contre-espionnage soupçonnée d’être liée à l’Iran et visant à recueillir des données sur des Iraniens et des menaces nationales susceptibles de collaborer avec des agences de renseignement et de sécurité à l’étranger, en particulier en Israël.

Les données recueillies dans le cadre de cette campagne pourraient aider l’appareil de renseignement iranien à repérer les personnes désireuses de collaborer avec les pays perçus comme des adversaires de l’Iran. Les données collectées peuvent être utilisées pour découvrir les opérations de renseignement humain (HUMINT) menées contre l’Iran et pour persécuter tout Iranien soupçonné d’être impliqué dans ces opérations. Il peut s’agir de dissidents iraniens, d’activistes, de défenseurs des droits de l’homme et de personnes parlant le farsi et vivant en Iran ou à l’étranger.

Mandiant estime avec un degré de confiance élevé que cette campagne a été menée pour le compte du régime iranien, sur la base de ses tactiques, techniques et procédures (TTP), de ses thèmes et de son ciblage. En outre, nous avons observé un faible chevauchement entre cette campagne et APT42, un acteur de la menace lié à l’Iran soupçonné d’opérer pour le compte de l’Organisation des renseignements du Corps des gardiens de la révolution iranienne (IRGC-IO). Les activités de cette campagne s’inscrivent dans la lignée de l’IRGC iranien et des antécédents d’APT42 en matière d’opérations de surveillance contre des menaces nationales et des individus présentant un intérêt pour le gouvernement iranien. Malgré le lien possible avec APT42, Mandiant n’a observé aucune relation entre cette activité et un quelconque ciblage lié aux élections américaines, comme l’a précédemment signalé le Threat Analysis Group de Google.

L’activité a utilisé plusieurs comptes de médias sociaux pour diffuser un réseau de plus de 35 faux sites Web de recrutement contenant un vaste contenu de leurre en farsi, y compris des offres d’emploi et des leurres liés à Israël, tels que des images de symboles nationaux israéliens, de bureaux de haute technologie et de points de repère de grandes villes. Une fois sur le site, les utilisateurs ciblés doivent entrer leurs coordonnées personnelles ainsi que leur expérience professionnelle et universitaire, qui sont ensuite envoyées aux attaquants.
Les opérations de contre-espionnage présumées ont commencé dès 2017 et ont duré au moins jusqu’en mars 2024. Par le passé, des campagnes similaires ont été déployées en arabe, ciblant des individus affiliés aux agences de renseignement et de sécurité de la Syrie et du Hezbollah. Cela pourrait indiquer que les activités de contre-espionnage de l’Iran s’étendent au-delà de son propre appareil de sécurité et de renseignement, peut-être pour soutenir ses alliés en Syrie et au Liban.

Mandiant a veillé à ce que cette activité soit bloquée et interrompue, à ce que les comptes de l’acteur de la menace soient fermés et à ce que les utilisateurs de Google Chrome et d’autres navigateurs soient protégés.

Le cycle de vie de l’attaque

Cette activité s’appuie sur un réseau de faux sites web de recrutement se faisant passer pour des entreprises de ressources humaines basées en Israël, qui utilisent une imagerie similaire pour tenter d’inciter des personnes parlant le farsi à fournir des informations personnelles. Les sites web ont été diffusés en ligne, notamment par le biais de faux comptes de médias sociaux, et ont utilisé des modèles similaires.

L’activité se déroule en plusieurs étapes.

Étape 1 : La diffusion de liens vers de faux sites web de recrutement
Mandiant a identifié plusieurs faux comptes de médias sociaux faisant la promotion des sites web sur diverses plateformes sociales, telles que X (anciennement Twitter) et Virasty, couramment utilisées en Iran.
Le message X suivant contient un lien vers le site web malveillant, topwor4u[.]com, ainsi que la description suivante traduite du farsi :
« L’année dernière, nous avons réussi à attirer des centaines de professionnels de l’information et de la cybernétique et à remporter des succès uniques au niveau mondial.
Si vous avez une expérience professionnelle dans le domaine de l’information et de la cybernétique, rejoignez-nous ».

Étape 2 : Les faux sites web d’offres d’emploi présentant un contenu leurre lié à Israël
En entrant sur le site web, l’utilisateur prend connaissance de l’objectif présumé des fausses entreprises de ressources humaines : « recruter des employés et des officiers des services de renseignement et de sécurité iraniens ».

• Les faux sites de recrutement partagent des modèles et du contenu, se faisant passer pour des sociétés de ressources humaines, comme « Optima HR » ou « Kandovan HR ».
• Les sites web contiennent une description élaborée rédigée en farsi, présentant le prétendu cabinet de ressources humaines comme « actif dans les domaines de l’information internationale et de la sécurité/du conseil et de la recherche en matière de cybernétique dans le monde entier ».
• Les sites web contiennent une description en farsi des « conditions de coopération » avec la fausse société de ressources humaines :

« Avoir une expérience documentée pertinente et un CV dans le domaine de l’information et de la cybernétique dans des institutions et organisations connexes (obligatoire).

La protection de votre vie privée est notre priorité.
Excellent salaire pour les candidats retenus.

Notre centre vous invite à nous contacter pour soumettre une offre d’emploi et recevoir des projets spéciaux et uniques !

Rejoignez-nous pour nous aider mutuellement à avoir un impact sur le monde.
Notre devoir est de protéger votre vie privée ».

• Mandiant a observé que les versions desktop et mobile des sites web beparas[.]com affichaient des contenus similaires et des leurres affiliés à Israël, notamment le drapeau israélien et les principaux points de repère de la ville.

• Les sites web contiennent des liens de contact Telegram, utilisant des pseudos qui contiennent des références à « IL » (Israël), ce qui renforce encore la perception de l’affiliation israélienne de la campagne. En voici un exemple :

hxxps ://t[.]me/PhantomIL13
hxxps ://t[.]me/getDmIL

• Plusieurs faux sites web de recrutement contenaient également un lien permettant de rejoindre un chat Telegram :

hxxps ://t[.]me/joinchat/AAAAAFgDeSXaWr2r_AQImw

• Une inspection plus poussée du domaine beparas[.]com a révélé que les données d’utilisateur WordPress pour le site web sont accessibles au public et indiquent le nom d’utilisateur « miladix » ainsi que des URL Gravatar probablement affiliées à cet utilisateur (voir la capture d’écran suivante). La valeur « b7e2f4a5bc67256189e6732fbce86520 » dans les URLs Gravatar est la valeur Sha256 de l’email de l’utilisateur, selon la documentation Gravatar.

• Le surnom « Miladix » pourrait être lié à « Milad Azadi », le nom du compte X utilisé par la campagne et mentionné précédemment. En outre, « Milad » est un nom persan, ce qui renforce encore l’affiliation de la campagne à l’Iran.

• Mandiant a observé un domaine miladix[.]com, affilié à un développeur de logiciels iranien, bien qu’aucun lien n’ait été trouvé liant la campagne à miladix[.]com ou à son opérateur.

Étape 3 : L’utilisateur ciblé remplit le formulaire, les données personnelles et professionnelles sont envoyées aux attaquants

Les faux sites de recrutement contiennent un formulaire qui comprend les champs suivants : nom, date de naissance, adresse électronique, adresse personnelle, formation et expérience professionnelle.

« Axe de la résistance » : Opérations historiques ciblant la Syrie et le Hezbollah

Un examen approfondi des faux sites web d’« Optima HR » a révélé l’existence d’un réseau antérieur de faux sites web de recrutement ciblant les locuteurs du farsi ainsi que les arabophones affiliés à la Syrie et au Liban (Hezbollah) et se faisant passer pour une autre société de ressources humaines appelée « VIP Human Solutions ».
Les sites de « VIP Human Solutions » utilisaient des images et des thèmes très similaires, prétendant recruter pour des emplois liés à la sécurité et au renseignement en utilisant un contenu leurre affilié à Israël.

Le contenu, le modèle et le formulaire de renseignements personnels du site web « VIP Human Solutions » sont presque identiques à ceux du site web « Optima HR ». Le titre se traduit par :

« VIP job selection est un centre de recrutement pour le personnel respecté et les employés des organisations et institutions de sécurité et de renseignement iraniennes. »

Mandiant a observé des chevauchements significatifs entre la campagne historique « VIP Human Solutions » et la campagne actuelle « Optima HR », et considère que les deux sont déployées par le même acteur de la menace. L’activité a été mentionnée publiquement dans le passé et a été soupçonnée d’être liée au Mossad israélien.

• Mandiant a observé que le groupe de discussion Telegram susmentionné était actif depuis au moins 2021 et qu’il était utilisé par les deux groupes :

hxxps ://t[.]me/joinchat/AAAAAFgDeSXaWr2r_AQImw

• Le même lien a été intégré dans plusieurs sites web de « VIP Human Solutions », parfois avec des numéros de téléphone israéliens (+972) et des comptes Telegram supplémentaires :

hxxps ://t[.]me/DreamyJobs_com
hxxps ://t[.]me/wazayif_IL

« wazayif » est la transcription anglaise du mot « jobs » en arabe.

Les sites web de recrutement « VIP Human Solutions » ont probablement été utilisés entre 2018 et 2023. En plus des sites en farsi, le groupe a utilisé des sites en arabe avec des modèles similaires.

Traduction du titre du site arabe :

« VIP Recruitment, un centre de recrutement de personnel militaire respecté dans l’armée, les services de sécurité et les services de renseignement de Syrie et du Hezbollah, au Liban ».

Mandiant a également observé une autre version du même site web en 2023, qui comprend le texte factice « Loren Ipsum » en arabe, indiquant peut-être que la version mise à jour du site web n’était pas encore opérationnelle. Le modèle comprend le drapeau et la carte de la Syrie, un numéro de téléphone israélien (+972) et un lien de contact Telegram : hxxps ://t[.]me/DreamyJobs_com.

Alors que les domaines « VIP Human Solutions » ont été enregistrés à partir de 2020, Mandiant a observé d’autres preuves historiques suggérant que la campagne a été active depuis au moins 2018.

Plus précisément, une chaîne YouTube nommée « VIP Human Solutions » a été créée par « Alireza Ebrahimpoor » en novembre 2018. La chaîne contient une seule vidéo de « VIP Jobs Global », avec une description en farsi très similaire à celle des faux sites de recrutement, présentée comme un « centre de recrutement pour les retraités et les employés des organisations et institutions de sécurité et de renseignement iraniennes ». La chaîne YouTube contrôlée par l’acteur de la menace n’est plus disponible.

Le contenu et le thème de la vidéo sont très similaires à ceux des faux sites de recrutement, y compris l’utilisation du logo unique de « VIP Human Solutions ».

La vidéo contient également les coordonnées suivantes :

• Adresse électronique : sendcv@vipjobsglobal[.]com. Le domaine vipjobsglobal[.]com a été enregistré en mars 2018.
• Page Facebook : hxxps ://facebook[.]com/358690841262928, qui a commencé à fonctionner en décembre 2017 et n’est plus active.


Perspectives et implications

Mandiant estime que cette activité soutient les efforts de contre-espionnage iraniens visant à identifier les individus affiliés (ou souhaitant travailler) avec les agences de renseignement et de sécurité.

Plus précisément, les activités décrites ici concernent les personnes iraniennes soupçonnées de collaborer avec des pays que l’Iran pourrait percevoir comme des adversaires. Il peut s’agir de dissidents iraniens, d’activistes, de défenseurs des droits de l’homme et de personnes parlant le farsi et vivant en Iran ou à l’étranger.

La campagne ratisse large en opérant sur plusieurs plateformes de médias sociaux pour diffuser son réseau de faux sites web sur les droits de l’homme dans le but d’exposer les personnes parlant le farsi qui pourraient travailler avec les agences de renseignement et de sécurité et qui sont donc perçues comme une menace pour le régime iranien. Les données collectées, telles que les adresses, les coordonnées, ainsi que l’expérience professionnelle et universitaire, pourraient être exploitées dans le cadre d’opérations futures contre les personnes ciblées.

Informations supplémentaires sur la protection pour les clients de Google Cloud

Pour les clients de Google Chronicle Enterprise+, les règles Chronicle ont été ajoutées au pack de règles Emerging Threats, et les IOC listés ici sont disponibles pour être classés par ordre de priorité avec Applied Threat Intelligence.

Indicateurs de compromission (IOC)

Une collection de renseignements sur les menaces de Google comprenant des IOC liés à l’activité décrite dans cet article est désormais disponible pour les utilisateurs enregistrés.


Voir les articles précédents

    

Voir les articles suivants