Roger Stone, ancien conseiller de la campagne présidentielle de Donald Trump, lors de la Convention nationale républicaine (RNC) à Milwaukee le 17 juillet 2024.
Agrandir / Roger Stone, ancien conseiller de la campagne présidentielle de Donald Trump, lors de la Convention nationale républicaine (RNC) à Milwaukee le 17 juillet 2024.

Le groupe d’analyse des menaces de Google a confirmé mercredi avoir observé un acteur malveillant soutenu par le gouvernement iranien ciblant des comptes Google associés aux campagnes présidentielles américaines, ainsi qu’une intensification des attaques contre des cibles israéliennes.

APT42, lié aux Gardiens de la Révolution islamiques d’Iran, “cible systématiquement des utilisateurs de haut niveau en Israël et aux États-Unis,” écrit le groupe d’analyse des menaces (TAG). Ce groupe iranien utilise des logiciels malveillants hébergés, des pages de phishing, des redirections malveillantes et d’autres tactiques pour accéder à des comptes basés sur le cloud comme Google, Dropbox et OneDrive. Le TAG de Google a indiqué avoir réinitialisé des comptes, envoyé des avertissements aux utilisateurs et mis sur liste noire les domaines associés aux tentatives de phishing d’APT42.

Parmi les outils d’APT42 figuraient des pages Google Sites qui semblaient être une pétition de militants juifs légitimes, appelant Israël à intervenir dans son conflit avec le Hamas. La page était fabriquée à partir de fichiers image, non en HTML, et une redirection ngrok envoyait les utilisateurs vers des pages de phishing lorsqu’ils tentaient de signer la pétition.

Une pétition prétendument de l'Agence juive pour Israël, cherchant un soutien pour des mesures de médiation — mais les signatures redirigent silencieusement vers des sites de phishing, selon Google.

Une pétition prétendument de l’Agence juive pour Israël, cherchant un soutien pour des mesures de médiation — mais les signatures redirigent silencieusement vers des sites de phishing, selon Google.

Aux États-Unis, le TAG de Google note qu’en ce qui concerne les élections de 2020, APT42 cible activement les courriels personnels d'”environ une douzaine d’individus affiliés au président Biden et à l’ancien président Trump.” Le TAG confirme qu’APT42 “a réussi à accéder au compte Gmail personnel d’un consultant politique de haut niveau,” ce qui pourrait être le stratège républicain Roger Stone, selon des rapports de Le Guardian, CNN, et Le Washington Post, parmi d’autres. Microsoft a également noté la semaine dernière qu’un “ancien conseiller senior” de la campagne Trump avait vu son compte Microsoft compromis, ce qu’Stone a également confirmé.

“Aujourd’hui, le TAG continue d’observer des tentatives infructueuses d’APT42 pour compromettre les comptes personnels d’individus affiliés au président Biden, à la vice-présidente Harris et à l’ancien président Trump, y compris des fonctionnaires actuels et anciens et des personnes associées aux campagnes,” écrit le TAG de Google.

PDF et kits de phishing ciblent les deux camps

Le post de Google détaille les manières dont APT42 cible les opérateurs des deux partis. La stratégie générale consiste à faire sortir la cible de son email et à la diriger vers des canaux comme Signal, Telegram ou WhatsApp, voire vers une adresse email personnelle qui pourrait ne pas avoir d’authentification à deux facteurs ni de surveillance des menaces. En établissant une confiance à travers l’envoi de PDF légitimes, ou en attirant la cible vers des réunions vidéo, APT42 peut ensuite pousser des liens utilisant des kits de phishing avec “un flux harmonieux” pour collecter des informations d’identification sur Google, Hotmail et Yahoo.

Après avoir pris pied, APT42 travaille souvent à préserver son accès en générant des mots de passe spécifiques à l’application à l’intérieur du compte, ce qui contourne généralement les outils multifactoriels. Google note que son Programme de Protection Avancée, destiné aux personnes à haut risque d’attaque, désactive de telles mesures.

Des publications, notamment Politico, Le Washington Post et Le New York Times, ont signalé avoir reçu des documents de la campagne Trump, qui pourraient provenir des efforts de phishing de l’Iran, en écho à la campagne ciblée par la Russie en 2016 contre Hillary Clinton. Aucune d’elles n’a décidé de publier des articles liés aux documents.

John Hultquist, de la société de cybersécurité Mandiant, détenue par Google, a déclaré à Andy Greenberg de Wired que ce qui semble au départ être de l’espionnage ou une ingérence politique de l’Iran peut facilement s’escalader vers du sabotage et que les deux partis sont des cibles égales. Il a également indiqué que la réflexion actuelle sur les vecteurs de menace peut nécessiter d’être élargie.

“Ce n’est plus seulement un problème russe. C’est plus large que cela,” a déclaré Hultquist. “Il y a plusieurs équipes en jeu. Et nous devons garder un œil sur toutes.”

En tant que journaliste, je trouve préoccupant de voir à quel point les cybermenaces peuvent impacter le paysage politique et la sécurité des individus. Les campagnes de phishing, comme celles d’APT42, soulignent l’importance d’une vigilance constante dans la protection de nos informations personnelles, surtout dans un climat politique aussi tendu. Il est essentiel que les parties prenantes prennent ces menaces au sérieux et établissent des protocoles de sécurité robustes pour se défendre contre de telles manipulations.

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *