Les pirates russes et iraniens liés à l’État ciblent de plus en plus les politiciens, journalistes et chercheurs britanniques avec des campagnes sophistiquées visant à accéder au courrier électronique d’une personne, a averti jeudi l’agence britannique de sécurité en ligne.
Le Centre national de cybersécurité (NCSC) a émis une alerte concernant deux groupes de Russie et d’Iran, mettant en garde les membres du gouvernement, de la défense, des groupes de réflexion et des médias contre le fait de cliquer sur des liens malveillants de personnes se faisant passer pour des hôtes de conférence, des journalistes ou même des collègues.
Les deux groupes sont actifs depuis quelques années, mais il semble qu’ils aient récemment intensifié leurs activités au Royaume-Uni alors que la guerre en Ukraine se poursuit, ainsi qu’aux États-Unis et dans d’autres pays de l’OTAN. Ils visent à voler des secrets – ou à divulguer de la correspondance en ligne pour embarrasser des personnalités de premier plan – mais pas à extorquer de l’argent.
Paul Chichester, directeur des opérations du NCSC, a déclaré que les « acteurs de la menace basés en Russie et en Iran » des deux groupes distincts « continuent de poursuivre impitoyablement leurs cibles dans le but de voler des informations d’identification en ligne et de compromettre des systèmes potentiellement sensibles ».
Les pirates cherchent généralement à gagner la confiance d’une cible en se faisant passer pour une personne susceptible d’entrer en contact avec elle, par exemple en se faisant passer pour un journaliste à tort, et en fin de compte en l’incitant à cliquer sur un lien malveillant, parfois au cours de plusieurs e-mails et autres interactions en ligne. .
Dans un cas, le groupe iranien, surnommé Charming Kitten, a organisé une fausse réunion de zoom avec sa cible et a partagé le lien malveillant « dans la barre de discussion pendant l’appel téléphonique », a déclaré le NCSC. Parfois, deux faux personnages ou plus sont utilisés dans un effort soigneusement conçu pour convaincre une personne que ses demandes ou ses affaires sont légitimes.
L’année dernière, le groupe russe connu sous le nom de Seaborgium ou Cold River a été accusé par Google d’avoir piraté et divulgué la correspondance impliquant l’ancien directeur du MI6 Richard Dearlove et d’autres durs Brexiters cherchant à bloquer l’accord de sortie de Theresa May avec Chequers EU.
Cette année, le même groupe a été accusé d’avoir ciblé trois laboratoires de recherche nucléaire aux États-Unis, de créer de fausses pages de connexion pour chaque institution et d’envoyer des e-mails aux scientifiques qui y travaillaient pour tenter de leur faire révéler leurs mots de passe. Il n’est pas clair si l’un des efforts a été couronné de succès.
En fin de compte, et idéalement après avoir établi un rapport, les pirates essaieront d’inciter une personne à cliquer sur un lien qui la mènera à une page Web où il lui sera demandé d’entrer les détails de son mot de passe. À ce stade, leur courrier électronique est compromis à l’aide d’une technique connue sous le nom de « spear phishing ».
Bien que la méthode soit l’une des techniques de piratage les plus anciennes, ce qui distingue les deux groupes, c’est l’effort fait pour tromper leurs cibles, notamment en créant de « faux réseaux sociaux ou profils de réseautage qui se font passer pour des experts respectés » et en proposant des invitations à des conférences inexistantes supposées pertinentes pour leurs cibles. .
Une fois qu’ils ont le contrôle d’un compte, les pirates l’utilisent parfois pour en attirer d’autres, car les victimes auront plus confiance si les e-mails qu’ils envoient sont authentiques. Les pirates ont également mis en place des «règles de transfert de courrier» secrètes dans le but de retrouver l’accès à un compte de messagerie même lorsque le piratage est détecté et que les mots de passe sont réinitialisés.
On pense que les deux groupes sont dirigés par l’État, engagés dans ce que l’on appelle des activités de « cyberespionnage » – mais l’agence britannique n’a pas officiellement blâmé les gouvernements russe ou iranien. Lorsque de telles attributions sont faites, elles sont faites par le ministre des Affaires étrangères ou d’autres ministres du ministère des Affaires étrangères.
Le NCSC encourage les gens à utiliser des mots de passe de messagerie forts. Une technique consiste à utiliser trois mots aléatoires et à ne pas les reproduire comme identifiant de connexion sur d’autres sites Web. Il recommande aux utilisateurs d’utiliser une authentification à deux facteurs, en utilisant un téléphone mobile dans le cadre du processus de connexion, idéalement en utilisant une application d’authentification spéciale.
La cyber-agence conseille également aux gens de faire preuve d’une prudence particulière lorsqu’ils reçoivent des messages à consonance plausible d’étrangers qui s’appuient sur Gmail, Yahoo, Outlook ou d’autres comptes de messagerie Web, se faisant parfois passer pour des « contacts connus » de la cible sélectionnés sur les réseaux sociaux.