Les pirates emploient des techniques d’ingénierie sociale pour inciter les personnes ciblées à donner leur identifiant et leur mot de passe. Classique, mais bien ficelé.
Les chercheurs en sécurité de Microsoft viennent de publier les détails techniques d’une vaste opération de cyberespionnage d’origine russe qui vise principalement des cibles dans les pays de l’OTAN : des entreprises de défense, des organisations intergouvernementales ou non gouvernementales, des cercles de réflexion, des universités, des membres de services de renseignement, des Russes en exil, etc.
Baptisée « Seaborgium », ce groupe de hackers cherche avant tout à accéder à des comptes en ligne ou des boîtes e-mail pour y récolter des données sensibles. L’objectif sera donc toujours le même : inciter la personne ciblée à rentrer un identifiant et un mot de passe dans une fausse interface. Pour y arriver, le groupe utilise des techniques de phishing ciblé et d’ingénierie sociale. Avant de passer à l’action, il va analyser l’environnement de la cible, afin de pouvoir créer un message incitatif et crédible.
Des messages taillés sur mesure
Dans sa note de blog, Microsoft fournit quelques exemples. Dans un cas, les pirates ont envoyé un message au ton léger tout en mentionnant une pièce jointe qui n’existe pas. Cet oubli feint qui va inciter l’interlocuteur à engager une discussion pour la réclamer, ce qui aura pour effet d’abaisser sa garde. Dans un autre cas, les pirates utilisent, au contraire, un ton autoritaire pour inciter les destinataires à télécharger un document portant sur… des directives de sécurité informatique. C’est un comble.
Pour attirer la cible vers le soi-disant document, plusieurs moyens sont utilisés. Cela peut être un simple lien dans le corps du texte ou, de façon plus élaborée, une image qui imite les liens de téléchargement OneDrive ou Google Drive, avec un bouton de type « Open in… ». En cas de clic, le destinataire est redirigé vers une plateforme contrôlée par les pirates où s’affichera une interface de connexion.
Parfois, les pirates brouillent un peu plus les pistes et crée un véritable document dans un cloud officiel. Mais le document affiche un message de connexion déficiente suivi d’un lien. Si la personne se fait avoir par ce message, il retrouvera sur la plateforme des hackers.
Les documents volés par Seaborgium sont parfois utilisés dans des opérations de désinformation. En effet, Microsoft a pu relier l’activité de ce groupe à deux évènements récents. En mai 2021, des documents subtilisés auprès d’un groupe politique britannique ont été diffusés sur un site de partage public. Cette publication a été amplifiée sur les réseaux sociaux au travers de comptes contrôlés par Seaborgium.
Puis en mai 2022, les pirates ont publié des documents qu’ils auraient apparemment volés dans les comptes Protonmail de partisans pro-Brexit. Là encore, la diffusion a été amplifiée grâce aux réseaux sociaux.
Source :
Microsoft