Selon Check Point : opération de surveillance d'iraniens

Modérateur: Modérateurs et Modératrices

Selon Check Point : opération de surveillance d'iraniens

Messagede pierre » 08 Sep 2018, 00:36

Check Point - Jeudi 07 septembre 2018

"Chaton domestique" : une opération de surveillance iranienne

Le stratège chinois Sun Tzu, le philosophe politique italien Machiavel et le philosophe anglais Thomas Hobbes ont tous justifié la tromperie dans la guerre comme une forme légitime de guerre. Avant eux, certains étaient au Moyen-Orient et avaient déjà internalisé et mis en œuvre cette stratégie avec succès, et continuent de le faire aujourd'hui.

Des enquêtes récentes menées par des chercheurs de l'israélien Check Point révèlent une attaque étendue et ciblée qui a eu lieu depuis 2016 et qui, jusqu'à présent, est restée sous le radar en raison de la tromperie astucieuse de ses attaquants vers leurs cibles. Grâce à l'utilisation d'applications mobiles, les personnes à l'origine de l'attaque utilisent de faux contenus leurres pour inciter leurs victimes (Ingénierie sociale) à télécharger de telles applications, qui sont en fait des Cheval de Troie (Trojan) véhiculant et implantant des logiciels espions (Spyware), afin de collecter des informations sensibles à leur sujet.

Fait intéressant : les cibles incluent des autochtones kurdes et turcs et des partisans de l’État Islamique. Le plus intéressant, cependant, est que toutes ces cibles sont en réalité des citoyens iraniens.


Quelles informations sont collectées ?

Compte tenu de la nature de la cible, les données collectées sur ces groupes fournissent aux personnes derrière la campagne des informations de grande valeur qui seront sans aucun doute mises à profit lors de futures actions contre elles. En effet, le logiciel malveillant collecte des données, y compris des listes de contacts stockées sur le périphérique mobile de la victime, des enregistrements d'appels téléphoniques, des messages SMS, l'historique du navigateur et des signets, la géolocalisation de la victime, des photos,


Qui est derrière l'attaque ?

Bien que l'identité exacte de l'acteur derrière l'attaque reste non confirmée, les observations actuelles des personnes ciblées, la nature des applications et l'infrastructure d'attaque impliquée nous amènent à penser que cette opération est d'origine iranienne. En fait, selon nos discussions avec des experts du renseignement familiarisés avec le discours politique dans cette partie du monde, les entités gouvernementales iraniennes, telles que le Corps des gardiens de la révolution islamique (IRGC), le ministère des Renseignements, le surveillance de ces groupes.

En effet, ces programmes de surveillance sont utilisés contre des individus et des groupes qui pourraient constituer une menace pour la stabilité du régime iranien. Celles-ci pourraient inclure des dissidents internes et des forces d'opposition, ainsi que des défenseurs de l'Etat islamique et la minorité kurde installée principalement dans l'ouest de l'Iran.

Bien que notre enquête soit toujours en cours, l’étude ci-dessous révèle toute l’ampleur de ces attaques ciblées, de son infrastructure et de ses victimes, ainsi que de l’histoire politique possible. Dans le même temps, nous avons baptisé cette opération «Domestic Kitten», en référence à la désignation d’autres attaques iraniennes APT.



Collecte de données via des applications mobiles

Les victimes sont d'abord attirées vers le téléchargement d'applications qui les intéressent. Les applications découvertes par nos chercheurs comprenaient un changeur de papier peint de marque ISIS, des « mises à jour » de l'agence de presse ANF Kurdistan et une fausse version de l'application de messagerie Vidogram.

En ce qui concerne l’application sur le thème d’ISIS, sa principale fonctionnalité est de créer des fonds d’écran d’images ISIS, et semble donc cibler les défenseurs des organisations terroristes. Curieusement, son nom arabe est grammaticalement incorrect («دولة خلافة الاسلامیة», qui devrait plutôt être «دولة الخلافة الاسلامیة»).

En ce qui concerne l’application de l’agence de presse ANF, alors que ANF est un site Web d’information kurde légitime, son application a été fabriquée par les attaquants pour se présenter comme une application légitime afin de tromper leurs cibles.

En raison des noms et du contenu proposés par les applications mentionnées ci-dessus, nous pensons que des groupes politiques et des utilisateurs spécifiques, principalement des partisans de l’ISIS et du groupe ethnique kurde, sont visés par l’opération.

Cependant, lorsque la plupart des victimes sont en réalité des citoyens iraniens, cela soulève des questions plus pertinentes sur qui peut être à l'origine de l'attaque. Se référant à l'infrastructure d'attaque, examinée ci-dessous, et à sa cohérence avec les enquêtes précédentes sur les opérations iraniennes parrainées par l'État et couvertes par les chercheurs de Check Point.

Distribution des victimes

Après avoir analysé l'étendue de l'opération, ainsi que des informations détaillées sur les périphériques attaqués et les fichiers journaux collectés, nous avons compris qu'environ 240 utilisateurs ont jusqu'à présent été victimes de cette campagne de surveillance.

En outre, grâce à une documentation minutieuse de la campagne menée par ses créateurs, nous avons pu apprendre que plus de 97% de ses victimes étaient iraniennes, ce qui concorde constamment avec notre estimation selon laquelle cette campagne est d’origine iranienne.

Outre les cibles iraniennes découvertes, nous avons également trouvé des victimes en Afghanistan, en Irak et en Grande-Bretagne. Fait intéressant, la documentation du journal inclut le nom de l’application malveillante utilisée pour intercepter les données des victimes, ainsi que le champ Nom du code de l’application.

Ce champ comprend une brève description de l'application, ce qui nous amène à penser qu'il s'agit d'un champ utilisé par les attaquants pour reconnaître instantanément l'application utilisée par la victime. Les noms de code observés comprennent «Daesh4» (ISIS4), «Nouvelles militaires», «Armes2», «Poésie kurde».

L'article de Check Point se poursuit par des analyses techniques.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24712
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Retourner vers Vie privée

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité